DHCP中继安全性探讨

王 巍 李志强

(中国联通邯郸市分公司增值业务中心，河北邯郸056002)

DHCP中继安全性探讨

王 巍 李志强

(中国联通邯郸市分公司增值业务中心，河北邯郸056002)

简述了DHCP Relay的组成及原理，通过分析DHCP Relay的安全性，提出了针对不经过IP申请而直接上网的用户以及长期的固定IP用户不同的解决办法，为网络工程人员快速搭建网络和正确配置DHCP Relay提供了借鉴经验。

DHCP Relay;DHCP Serve;DHCP Client;局域网;网络安全

随着网络的快速发展，越来越多的设备可以嫁接多种平台，网络规模的逐渐扩大和网络复杂度的不断提高，使网络配置愈加复杂，经常出现的无线网络用户移动性和IP地址资源不足的情况，使DHCP协议逐渐发展起来。

1 DHCP中继概述

DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)的前身是BOOTP。

DHCP分为两部分:服务器端(DHCP Server)和客户端(DHCP Client)。所有的IP网路设定资料都由DHCP服务器集中管理，并负责处理客户端的DHCP请求，客户端则使用从服务器分配下来的IP环境资料。通过DHCP，用户可以实现各项必要网络参数IP、DNS、Wins等的“零设置”，做到“即插即用”。

DHCP从两个方面扩充了BOOTP。一是DHCP可以使计算机通过一个报文获取所需的全部配置信息(如IP地址、子网掩码等);二是DHCP允许计算机快速地获取IP地址，减少了用户管理的复杂性和负担。

表1 DHCP自动TCP/IP配置与手动TCP/IP配置的特点对比

2 DHCP中继原理

DHCP 中继提供转发功能给不能通过路由器的DHCP广播报文，使DHCP服务器能够为不在其物理子网的DHCP客户端提供相应的服务。DHCP中继收到DHCP客户端发来的请求报文后，把收到该报文的地址填入报文再转发，使DHCP服务器根据收到的报文中的地址就可以确定需要分配的IP地址。

DHCP分配的IP地址资源具有时效性，是动态的，可以有效提高IP资源的利用率。

DHCP客户端和DHCP中继间的所有报文，从初始状态获取IP地址时，DISCOVER和REQUEST都是广播的，OFFER和ACK根据请求报文中的广播标志位来决定广播还是单播，如果请求标注位为广播，则OFFER和ACK就是广播的，否则就是单播的。所以不能说一定就是广播的。

到达T1续租时，REQUEST和ACK都是单播的。

使用DHCP中继进行地址申请时的步骤与直接进行地址申请的步骤类似，只是DHCP中继路由器收到DHCP客户端的请求报文以后，把收到的报文的接口地址填入到该报文中，再进行单播转发。DHCP服务器端根据该接口的地址来确定分配给DHCP客户端地址的网段，即分配的IP地址与DHCP中继路由器收到请求报文的接口的地址属同一网段。

当收到来自DHCP服务器端单播的DHCPOFFER、DHCPACK或DHCPNAK报文时，DHCP客户端路由器就开始对DHCP客户端进行单播传送报文。

当DHCP客户端启动，同时开始DHCP初始化的时候，它在本地的网络配置请求报文。若本地网络有DHCP服务器端，则可直接开始DHCP配置，不再需要DHCP中继;若本地网络没有DHCP服务器端，但有DHCP中继设备，此设备收到该广播报文后，进行适当处理，即将收到报文的接口的地址填入该报文，并单播转发给特定的其它子网的DHCP服务器端。DHCP服务器端根据DHCP客户端提供的信息进行相应的配置，并通过DHCP中继将配置信息发送给DHCP客户端，完成对DHCP客户端的动态配置。

3 安全性

为了防止不经过IP申请而直接上网的用户，DHCP安全特性增加了一张IP和MAC的对应表，在用户通过申请IP地址的时候增加记录表项。

当在一个接口(交换机上VLAN虚接口)上使用了DHCP Relay安全特性后，ARP模块就会根据DH-CP Relay安全特性提供的这张表对IP地址和MAC地址匹配的合法性进行检查，如果IP和MAC对应的关系在表中找不到匹配项时，ARP报文将被丢弃。

为了满足网上合法固定IP用户的上网需求，DHCP安全特性提供配置固定IP用户的功能，以保证固定IP用户可以上网。同时对固定IP用户进行保护，保证其在交换机的安全特性表的IP表项不被动态IP用户覆盖。当动态用户申请的IP地址与这些静态配置的IP用户有冲突时，动态用户要更换新的IP地址，这个更换的处理由DHCP Relay来负责。

为了满足网上合法固定IP用户的上网需求，DHCP安全特性提供配置固定IP用户的功能，保证固定IP用户可以上网。同时对固定IP用户进行保护，保证其在交换机的安全特性表的IP表项不被动态IP用户覆盖。当动态用户申请的IP地址与这些静态配置的IP用户有冲突时，动态用户要更换新的IP地址，这个更换的处理由DHCP Relay来负责的。

4 结束语

本文在研究DHCP中继原理的基础上，通过分析DHCP中继的安全性，提出了针对不经过IP申请而直接上网的用户以及长期的固定IP用户不同的解决办法，为网络工程人员快速搭建网络及正确配置DHCP Relay提供了一些借鉴的经验。

［1］李莉敏.DHCP技术及其安全性的研究与优化［D］.西北工业大学，2005

［2］胡寅，吕浩勇.高校局域网下的DHCP安全研究［J］.电脑知识与技术，2011，(30)

［3］陈军，宁泌芳，杨亚峰.提高DHCP服务器安全性的若干策略［J］.科技广场，2006，(02)

［责任编校:张彩红］

TP393.1

A

1009-5462(2012)02-0049-03

2012-06-12

王巍，女，山东青岛人，中国联通邯郸市分公司增值业务中心工程师。