一起学DHCP系列(六)-授权分析.docVIP

一起学DHCP系列（六）授权、分析 　　我们在讲述DHCP服务器操作界面的时候似乎没有提到授权这个概念，的确。在工作组环境下所安装的DHCP服务器并没有“授权”选项。但并不代表工作组下的DHCP服务器不需要授权，只是在安装完成后就自己授权自己了，不需要额外干预。如下图： 　　工作组如果有多台DHCP服务器，客户端获取IP时，发出的DHCP Discover 数据包大家都可以收到，谁的Offer先到达客户端，就会用谁指派的IP地址。其他的IP自然都会被回绝，这是一般性过程。当然这种“优先指派权”的选定取决于多种因素，如客户端性能、服务器性能、链路状态等等。 　　 但当我们的DHCP服务器是为域用户分配IP、DNS地址时，为了保证域环境的稳定性我们就必须加以控制。基本方法是，任何一台域内的DHCP服务器在为客户端提供网络配置前，必须要先得到授权，这样才可以正常工作。举个简单的演示来说明这个问题，这是有一张拓扑图。如下： 　　我搭建了一个域OS.AD，并且集成安装了DHCP和DNS服务，XP2为一台客户端。现在我们通过实验分析一下DHCP在授权前、后是如何为XP2指派IP地址的。 　　首先将WIN2K3提升为DC（此过程以后会有描述，此时省略）。完成后如下图： 　　可以看到，现在WIN2K3已经是一台DC服务器了。 　　现在安装DHCP组件并创建一个192.168.1.2—192.168.1.5的作用域（过程略）。 　　完成后如下图： 　　从上面的图可以看到，在域环境中的DHCP服务器安装完成后，服务默认是不可用的。相比之下，工作组中的DHCP服务器就要简单些了，安装好后不用做设置就是正常状态。右键WIN2K3.OS.AD，我们可以看到此时服务器并没有授权。如下图： 　　首先激活作用域，但先不进行授权操作，此时接入主机XP2。 　　这里依然使用wireshark辅助分析。直到XP2获取到IP地址，一共会经历2个过程。 　　过程一：发送DHCP Discover 数据包查找DHCP服务器。 　　如下图： 　　很遗憾，没有能从DHCP那里获取到IP。但在请求数据包中包含一个上次曾经使用过的IP（如果是全新的系统，则第一次申请时不会出现Requested 　IP项 ）。如下图： 　　过程二：使用APIPA分配的IP或上一次使用的IP进行冲突检测。 　　如下图： 　　经过这个测试可以看出，即使激活了作用域，由于域中的DHCP服务器没有授权，依然无法被客户端发现，或者说无法接收到客户端的查询请求。现在我们为这台服务器授权，看一下客户端是否可以顺利获取到IP的。 　　如下图： 　　授权操作完成后DHCP就可以指派IP地址了。接入XP2主机并开启wireshark。 　　以下是数据包的捕获情况，同样也分为2个过程。 　　过程一：DHCP的客户端和服务器之间交互的4个过程。如下图： 　　这4个过程是客户端首次获取到IP的一般过程，关于详细的解释请参考上节内容。 　　过程二：对获取的IP进行冲突检测过程。 　　如下图： 　　可以看到，客户端利用Gratutous ARP对获取到的192.168.1.2这个IP进行冲突检测，以此确定此IP是否已被使用。现在，客户端现在可以正常使用这个IP了。 　　不难看出，域内的DHCP服务器只有经过授权后才可以正常指派IP，这个过程和工作组内指派没有很明显的区别。除了上面说的这种授权方式外，我们还可以利用如下方式进行授权。 　　右键点选DHCP最顶层的DHCP图标，选择【管理授权的服务器】。如下图： 　　点击【授权】按钮，输入需要授权DHCP服务器的名称或IP即可。如下图： 　　说了那么多，到底授权的目的是什么呢？其实很简单，就是防止非法的DHCP服务器为客户端提供错误的IP地址、掩码和DNS等网络参数而产生的网络访问故障。当活动目录中有多台DHCP服务器时，其余的DHCP服务器启动时会去查询已授权服务器列表，如果自己的IP在内则开始工作，否则将停止，直到管理员对其授权为止。 　　那如果某台服务器没有加入域，但也安装了DHCP服务，怎么办呢？我们把这种情况细分为2种。分析如下： 　　第一种情况： 　　工作组中有一台服务器和域在同一个网络内，之后的某个时间在这台服务器上安装了DHCP组件。 　　当这台服务器上DHCP服务启动时会向网内发出一个DHCP Inform的广播包，目的是查询网内是否有被授权的DHCP服务器，如果有则自己的DHCP服务禁用，也就是无法自动启用。 　　假设在现有的拓扑环境中新加入一台2003的服务器（仅仅是接入这个网络）。然后为这个服务器设置一个固定IP，如192.168.1.3，之后安装DHCP组件。原理上这台服务器应该会发送DHCP Inform数据包，我们看看协议上是如何体现的。如下图：