動態主機配置協議——DHCP詳解

• 一、DHCP簡介
  • 二、DHCP作用及特點
• 三、DHCP伺服器IP分配三種方式
• 四、DHCP協議中的報文
• 五、DHCP服務工作流程
  • • 第一步：搜索階段
    • 第二步：提供階段
    • 第三步：選擇階段
• 第四步：確認階段
• 六、安裝和配置DHCP服務
  • 七、DHCP中繼代理

一、DHCP簡介

DHCP(Dynamic Host Configuration Protocol),動態主機配置協議，是一個應用層協議。當我們將客戶主機ip地址設置為動態獲取方式時，DHCP伺服器就會根據DHCP協議給客戶端分配IP，使得客戶機能夠利用這個IP上網。

DHCP前身是BOOTP，在Linux的網卡配置中也能看到顯示的是BOOTP，DHCP引進一個bootp沒有的概念：租約。bootp分配的地址是永久的，而dhcp分配的地址是可以有期限的。

DHCP分為兩個部分：一個是伺服器端，另一個是客戶端。

二、DHCP作用及特點

• DHCP可以自動分配IP、子網掩碼、網關、DNS。
• DHCP客戶端使用的埠68，服務端使用埠67，使用的UDP應用層的協議。
• DHCP一般不為伺服器分配IP，因為他們要使用固定IP，所以DHCP一般只為辦公環境的主機分配IP。
• DHCP伺服器和客戶端需要在一個區域網內，在為客戶端分配IP的時候需要進行多次廣播。但DHCP也可以為其他網段內主機分配IP，只要連接兩個網段中間的路由器能轉發DHCP配置請求即可，但這要求路由器配置中繼功能。

三、DHCP伺服器IP分配三種方式

1）自動分配（Automatic Allocation）（MAC地址與IP綁定）

自動分配是當DHCP客戶端第一次成功地從DHCP伺服器端分配到一個IP地址之後，就永遠使用這個地址。

2）動態分配（Dynamic Allocation）常用方式

動態分配是當DHCP客戶端第一次從DHCP伺服器分配到IP地址後，並非永久地使用該地址，每次使用完後，DHCP客戶端就得釋放這個IP地址，以給其他客戶端使用。

3）手動分配

手動分配是由DHCP伺服器管理員專門為客戶端指定IP地址。

三種方式的區別：

1、自動分配和手動分配都是分配靜態ip
2、自動分配需要在配置文件中配置IP與MAC對應關係，在在靜態表中，獲取IP必須通過DHCP伺服器
3、手動分配需要人工操作，不需要通過DHCP伺服器
4、動態分配有時效性

四、DHCP協議中的報文

• DHCP DISCOVER ：客戶端開始DHCP過程發送的包，是DHCP協議的開始
• DHCP OFFER ：伺服器接收到DHCP DISCOVER之後做出的響應，它包括了給予客戶端的IP（yiaddr）、客戶端的MAC地址、租約過期時間、伺服器的識別符以及其他信息
• DHCP REQUEST ：客戶端對於伺服器發出的DHCP OFFER所做出的響應。在續約租期的時候同樣會使用。
• DHCP ACK ：伺服器在接收到客戶端發來的DHCP REQUEST之後發出的成功確認的報文。在建立連接的時候，客戶端在接收到這個報文之後才會確認分配給它的IP和其他信息可以被允許使用。
• DHCP NAK ：DHCP ACK的相反的報文，表示伺服器拒絕了客戶端的請求。
• DHCP RELEASE ：一般出現在客戶端關機、下線等狀況。這個報文將會使DHCP伺服器釋放發出此報文的客戶端的IP地址
• DHCP INFORM ：客戶端發出的向伺服器請求一些信息的報文
• DHCP DECLINE :當客戶端發現伺服器分配的IP地址無法使用（如IP地址衝突時），將發出此報文，通知伺服器禁止使用該IP地址。

五、DHCP服務工作流程

5.1、工作流程細節

第一步：搜索階段

當DHCP客戶端第一次登錄網路的時候，電腦發現本機上沒有任何IP地址設定，將以廣播方式發送DHCP discover發現信息來尋找DHCP伺服器，即向255.255.255.255發送特定的廣播信息。網路上每一臺安裝了TCP/IP協議的主機都會接收這個廣播信息，但只有DHCP伺服器才會做出響應。（DHCP DISCOVER）

第二步：提供階段

在網路中接收到DHCP discover發現信息的DHCP伺服器就會做出響應，它從尚未分配的IP地址池中挑選一個分配給DHCP客戶機，向DHCP客戶機發送一個包含分配的IP地址和其他設置的DHCP offer提供信息。因為此時客戶端還沒有IP，所以返回信息也是以廣播的方式返回的。（DHCP OFFER）

第三步：選擇階段

DHCP客戶端接受到DHCP offer提供信息之後，選擇第一個接收到的提供信息，然後以廣播的方式回答一個DHCP request請求信息，該信息包含向它所選定的DHCP伺服器請求IP地址的內容。（DHCP REQUEST）

第四步：確認階段

當DHCP伺服器收到DHCP客戶端回答的DHCP request請求信息之後，便向DHCP客戶端發送一個包含它所提供的IP地址和其他設置的DHCP ack確認信息，確認租約，並指定租約時長。告訴DHCP客戶端可以使用它提供的IP地址。然後，DHCP客戶機便將其TCP/IP協議與網卡綁定，另外，除了DHCP客戶機選中的DHCP伺服器外，其他的DHCP伺服器將收回曾經提供的IP地址。（DHCP ACK）

5.2、重新登錄

以後DHCP客戶端每次重新登錄網路時，就不需要再發送DHCP discover發現信息了，而是直接發送包含前一次所分配的IP地址的DHCP request請求信息。當DHCP伺服器收到這一信息後，它會嘗試讓DHCP客戶機繼續使用原來的IP地址，並回答一個DHCP ack確認信息。如果此IP地址已無法再分配給原來的DHCP客戶機使用時，則DHCP伺服器給DHCP客戶機回答一個DHCP nack否認信息。當原來的DHCP客戶機收到此DHCP nack否認信息後，它就必須重新發送DHCP discover發現信息來請求新的IP地址。

5.2、續租

DHCP伺服器向DHCP客戶機出租的IP地址一般都有一個租借期限，期滿後DHCP伺服器便會收回出租的IP地址。如果DHCP客戶機要延長其IP租約，則必須更新其IP租約。DHCP客戶機啟動時和IP租約期限到達租約的50%時，DHCP客戶機都會自動向DHCP伺服器發送更新其IP租約的信息。

續租的過程（只有最後兩步請求）：

Client--> DHCPREQUEST              # 單播：繼續請求使用提供的IP
          DHCPACK <-- Server       # 單播：確認續租

兩個租約表：

• 靜態租約表：對應一個靜態租約存儲文件，server運行時從文件中讀取靜態租約表。
• 動態租約表：對應一個周期存儲文件，server周期性將租約表存進該文件，在程式開始時將會讀取上次存放的租約表。（租約表記錄了當前所有分配的租約，包括靜態鏈接的）。

5.3、DHCP伺服器要跨網段提供服務

如果DHCP伺服器要跨網段提供服務，一樣是四步請求，只不過是每一步中間都多了一個路由器和DHCP伺服器之間的單播通信。

1）客戶端廣播方式發送報文，搜索DHCP伺服器。所有機器包括路由器都收到報文，路由器配置了中繼，知道搜索消息後單播給DHCP伺服器；

2）DHCP伺服器單播返回信息給路由器，路由器再廣播給客戶端；

3）客戶端選擇DHCP伺服器提供的IP，並廣播信息告訴它我選好了，路由器單播給DHCP伺服器；

4）DHCP伺服器收到信息將確認信息單播給路由器，路由器單播給客戶端。

5.4、小結：

• 當電腦從一個子網移到另一個子網，找的DHCP伺服器不同，因為舊的租約還存在，會先續租，新的DHCP伺服器肯定拒絕它的續租請求，這時將重新開始四步請求。
• 有些機器希望一直使用一個固定的IP，也就是靜態IP（static），除了手動進行配置，DHCP伺服器也可以實現這個功能。DHCP伺服器可以根據MAC地址來分配這台機器固定IP地址（保留地址），即使重啟或重裝了系統也不會改變根據MAC地址分配的地址（MAC地址跟IP綁定）。
• 當收到客戶端的首次請求時，DHCP伺服器先查找靜態租約表；若存在請求的表項，返回這個客戶的靜態IP地址；否則，從IP地址池中選擇可用的IP分配給客戶，並添加信息到動態資料庫中。此外，伺服器將會周期性的刷新租約表寫入文件存檔，在這個過程中會順便對動態租約表進行租期檢查。

六、安裝和配置DHCP服務

6.1、安裝

$ yum -y install dhcp

常用的幾個配置文件

/etc/dhcp/dhcpd.conf    # DHCP配置文件
/usr/sbin/dhcpd         # DHCP服務程式
/usr/sbin/dhcrelay      # 中繼命令程式，用於跨網段提供DHCP服務
/var/lib/dhcpd/dhcpd.leases    # 存放租借信息（如IP）和租約信息（如租約時長）
/usr/share/doc/dhcp-4.2.5/dhcpd.conf.example # 配置文件的範例文件

6.2、首先關閉虛擬機自帶的DHCP功能

6.3、配置文件

cp  -r  /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf

dhcpd.conf中部分配置項：

# 每行分號結束
ddns-update-style none;      # 動態dns相關，幾乎不開啟它。也就是不管它。
ignore client-updates;       # 和上面的相關，也不管它
authoritative                # 聲明為權威伺服器
next-server marvin.redhat.com;    # PXE環境下指定的提供引導程式的文件伺服器
# DHCP配置文件里必須配置一個地址池，其和DHCP伺服器自身IP在同一網段
subnet 192.168.182.0 netmask 255.255.255.0 {
  range 192.168.182.100 192.168.182.150;             # 地址池
  option domain-name-servers ns1.internal.example.org;     # 為客戶端指明DNS伺服器地址，可以是多個，最多三個
  option domain-name "internal.example.org";               # 為客戶端指明DNS名字，定義了它會覆蓋客戶端/etc/resolv.conf里的配置
  option routers 192.168.182.2;               # 預設路由，其實就是網關
  option broadcast-address 192.168.182.255;    # 廣播地址，不設置時預設會根據A/B/C類地址自動計算
  default-lease-time 600;                # 預設租約時長
  max-lease-time 7200;                   # 最大租約時長
}

#下麵的是綁定MAC地址設置保留地址，保留地址不能是地址池中的地址
host fantasia {            # 固定地址的配置，host後面的是標識符，沒意義
  hardware ethernet 00:0c:29:ac:fa:91;
  fixed-address 192.168.182.10;      # 根據MAC地址分配的固定IP 
}

如果不讓dhcp修改/etc/resolv.conf里的內容，就在網卡配置文件/etc/sysconfig/network-scripts/ifcfg-ethX里添加一行選項：PEERDNS=no。
6.4、客戶端dhclient

dhclient是一個DHCP協議客戶端

語法格式:

dhclient [參數] [網路介面]

常用參數：

-p	指定dhcp客戶端監聽的埠號（預設埠號86）
-d	總是以前臺方式運行程式
-q	安靜模式，不列印任何錯誤的提示信息
-r	釋放ip地址
-n	不配置任何介面
-x	停止正在運行的DHCP客戶端，而不釋放當前租約，殺死現有的dhclient
-s	在獲取ip地址之前指定DHCP伺服器
-w	即使沒有找到廣播介面，也繼續運行

dhclient簡單使用：
1）在指定網路介面上發出DHCP請求

$ dhclient ens37

2）釋放IP地址（這裡註意一點，靜態ip也會被釋放，小心操作）

# 釋放所有網卡綁定的ip
$ dhclient -r
# 指定釋放哪個網卡
$ dhclient -r ens37

3）從指定的DHCP伺服器獲取ip地址

$ dhclient -s 192.168.182.149 ens37

4）停止運行dhclient（這裡也會釋放所有ip，包括靜態ip，謹慎操作）

$ dhclient -x

5）恢復：

重啟網卡（systemctl restart network），會恢復靜態ip和動態獲取ip
執行dhclient，不會恢復靜態ip，只會動態獲取一個ip

6.5、在客戶端如何獲取動態分配的地址呢？

方法1：systemctl restart network

但是每次重啟網路很麻煩，可以使用客戶端命令dhclient。

方法2：接執行dhclient命令

這種方法下會顯示4部請求中需要顯示的步驟信息，以及最終分配的地址，所以是一個很好的理解dhcp工作的工具。
但是這種方法只能使用一次，第二次執行命令會提示該進程已經在執行，因為dhclient是一個進程。可以kill掉該進程再執行dhclient，或者使用dhclient -d選項。

方法三：dhclient -d

6.5、如何重新獲取IP地址？
每次重啟網卡預設都獲取的同一個ip，有時候想換個ip都很麻煩。在/var/lib/dhclient/目錄下有".leases"文件，將它們清空或者刪除這些文件中對應網卡的部分，再重啟網路就可以獲取新的動態ip。

[root@centos7-1 ~]# cat /var/lib/dhclient/dhclient.leases 
lease {
  interface "ens33";
  fixed-address 192.168.182.178;
  option subnet-mask 255.255.255.0;
  option routers 192.168.182.2;
  option dhcp-lease-time 1800;
  option dhcp-message-type 5;
  option domain-name-servers 192.168.182.2;
  option dhcp-server-identifier 192.168.182.254;
  option broadcast-address 192.168.182.255;
  option domain-name "localdomain";
  renew 0 2021/07/11 04:11:04;
  rebind 0 2021/07/11 04:11:04;
  expire 0 2021/07/11 04:11:04;
}
lease {
  interface "ens37";
  fixed-address 192.168.182.248;
  option subnet-mask 255.255.255.0;
  option dhcp-lease-time 1800;
  option routers 192.168.182.2;
  option dhcp-message-type 5;
  option dhcp-server-identifier 192.168.182.254;
  option domain-name-servers 192.168.182.2;
  option broadcast-address 192.168.182.255;
  option domain-name "localdomain";
  renew 0 2021/07/11 04:10:50;
  rebind 0 2021/07/11 04:10:50;
  expire 0 2021/07/11 04:10:50;
}
lease {
  interface "ens37";
  fixed-address 192.168.182.10;
  option subnet-mask 255.255.255.0;
  option routers 192.168.182.2;
  option dhcp-lease-time 600;
  option dhcp-message-type 5;
  option domain-name-servers 120.240.95.33,120.240.95.33;
  option dhcp-server-identifier 192.168.182.244;
  option broadcast-address 192.168.182.255;
  option domain-name "example.org";
  renew 0 2021/07/11 04:23:24;
  rebind 0 2021/07/11 04:27:51;
  expire 0 2021/07/11 04:29:06;
}

或者，在/etc/sysconfig/network-scripts/ifcfg-ens37加入"DHCPRELEASE=yes"。
當運行ip link set ens37 down的時候就會發出dhcprelase報文，查看/etc/sysconfig/network-scripts/ifdown-ens37腳本中實際上是調用dhclient命令，用下麵這個命令應該也可以。

# 釋放ip
$ /sbin/dhclient -r ens37
# 停掉網卡
$ ip link set ens37 down
# 啟動網卡
$ ip link set ens37 up

七、DHCP中繼代理

DHCP中繼被稱為DHCP Relay；是為了實現不同子網和物理網段之間處理和轉發dhcp信息

工作過程：

1. DHCP客戶機申請IP租約，發送DHCP-Discover包。
2. 中繼代理收到該包，並轉發給另一個網段的DHCP伺服器。
3. DHCP伺服器收到該包，將DHCP-Offer包發送給中繼代理。
4. 中繼代理將地址租約（DHCP-Offer）轉發給DHCP客戶端。