Serveur DHCP

Introduction au protocole de configuration dynamique d'hôte

Le protocole DHCP (Dynamic Host Configuration Protocol) est un protocole réseau qui permet à un serveur DHCP/serveur de réseau d'allouer dynamiquement une adresse IP, un masque de sous-réseau, des passerelles par défaut et d'autres paramètres de configuration réseau aux périphériques demandeurs. Il automatise la tâche de configuration IP banale de l'administrateur réseau en automatisant efficacement les allocations IP et en minimisant le gaspillage IP et les conflits IP. Le serveur DHCP peut attribuer dynamiquement des adresses IP aux périphériques réseau à partir de son pool d'adresses et les récupérer. Dans ce document, nous discutons:

Information additionnelle

Pour commencer, voici une liste de termes que vous devez connaître pour mieux comprendre DHCP.

Serveur DHCP: Un serveur réseau configuré pour exécuter le service DHCP. Les serveurs DHCP sont responsables de l'attribution automatique des adresses IP aux périphériques réseau. Le magasin de données du serveur contient un pool d'adresses IP qui peuvent être allouées aux clients demandeurs.

Client DHCP: Périphérique réseau, tel qu'un ordinateur portable et des imprimantes, qui prend en charge les services client DHCP. Les clients DHCP sont capables de demander aux serveurs DHCP des adresses IP dynamiques et des paramètres réseau afin de communiquer sur Internet.

Étendue DHCP: L’étendue DHCP spécifie la plage d'adresses IP qu'un serveur DHCP peut fournir à ses clients. L'étendue DHCP doit être configurée pour déterminer le pool d'adresses IP que le serveur DHCP peut louer ou renouveler.

Pool IP: Ensemble d'adresses IP séquentielles qu'un serveur DHCP peut attribuer à ses clients demandeurs.

Par exemple: si le serveur DHCP A possède un pool d'adresses IP de 192.168.20.1 - 192.168.20.25, il peut attribuer toutes les adresses IP de cette plage aux périphériques réseau demandeurs.

IP statique: Les adresses IP statiques sont des adresses IP attribuées manuellement aux périphériques réseau.

Ce sont des attributions d'adresses fixes et ne sont susceptibles de changer à aucun moment pendant la mise en réseau.

Par exemple: 172.217.6.164 est l'adresse IP statique de Google. Vous pouvez toujours accéder à Google en utilisant son adresse IP statique.

IP dynamique: Les adresses IP dynamiques sont des adresses IP qui sont automatiquement attribuées au périphérique réseau par un fournisseur d'adresses, tel que des serveurs DHCP. Ces allocations sont susceptibles de changer. Un appareil prenant en charge l'allocation IP dynamique n'est pas obligé d'avoir la même adresse IP à chaque fois qu'il se connecte à Internet.

Par exemple: l'adresse IP attribuée à votre appareil lors de la connexion à un réseau Wi-Fi gratuit peut changer chaque fois que vous établissez une nouvelle connexion.

Passerelle par défaut: Les passerelles par défaut sont des périphériques, comme les routeurs, qui permettent la communication entre les réseaux.

Principales fonctions de DHCP

Bien qu'il soit possible pour l'administrateur réseau de configurer manuellement les adresses IP et d'autres paramètres réseau pour chaque appareil du réseau, cela devient de plus en plus fastidieux et difficile à mesure que le réseau évolue. Avec la mise en œuvre de politiques telles que le BYOD (Apportez votre propre appareil) pour améliorer la productivité, il est très difficile pour les administrateurs de réseau informatique d'attribuer des adresses IP et de les suivre manuellement. DHCP a été introduit pour rationaliser le processus. DHCP automatise cette tâche de configuration IP banale en attribuant automatiquement des adresses IP et d'autres paramètres associés aux périphériques réseau.

Lorsqu'un périphérique réseau demande une adresse IP pour communiquer sur le réseau, le serveur DHCP offre au client une adresse IP à partir de son pool d'adresses IP. Lorsque l'appareil accepte ces adresses IP, le serveur DHCP met à jour sa banque de données avec l'adresse IP et le client alloué.

 

Main functions of DHCP

Bail DHCP, renouvellement, expiration

Étant donné que DHCP active l'allocation d'adresse IP dynamique, l'adresse allouée à un périphérique client DHCP n'est pas fixe. Le serveur DHCP n'attribue pas en permanence une adresse IP à un périphérique, mais la fournit pour une période de temps particulière.

Bail DHCP

Lorsqu'un client demande au serveur DHCP une adresse IP, le serveur DHCP fournit l'adresse IP et les paramètres de configuration du réseau tels que le masque de sous-réseau et les passerelles par défaut pour une période donnée - appelée bail. La période pour laquelle le client se voit attribuer l'adresse IP est appelée la période de location. Le client peut utiliser tous les paramètres réseau alloués pendant cette période et est identifié de manière unique dans le réseau à l'aide de l'adresse IP allouée.

Renouvellement de bail

Pendant ou à la fin de la période de location, si le client souhaite continuer à utiliser les mêmes paramètres réseau, y compris l'adresse IP, un renouvellement de bail via le serveur DHCP peut être demandé. Le serveur DHCP, à la réception de ce message, renouvelle la période de location du client et le client peut continuer à utiliser l'adresse IP pendant une période prolongée.

Expiration du bail

À la fin de la période de location, si un client n'a pas demandé de renouvellement, ou si le serveur n'a pas reçu de demande de renouvellement, le bail de l'IP allouée expire. Cela amène le DHCP à récupérer l'adresse IP et les configurations réseau associées, et à les rajouter à son pool d'adresses IP.

Utilisation efficace de l'espace d'adressage IP avec DHCP

Comme indiqué précédemment, chaque serveur DHCP possède un pool d'adresses IP. Toute adresse IP de ce pool peut être attribuée dynamiquement aux clients demandeurs et récupérée dans le pool.

Pourquoi DHCP loue-t-il des adresses IP au lieu de les allouer de manière permanente? L'attribution permanente d'adresses IP, ou l'attribution d'adresses IP pendant de longues périodes, peut entraîner une pénurie d'adresses. Un serveur DHCP n'a qu'un ensemble limité d'adresses IP dans son pool IP. Si nous attribuons une adresse IP pendant une longue période à un périphérique spécifique, alors lorsque le nombre de périphériques souhaitant se connecter au réseau dépasse le nombre d'adresses IP disponibles, il y a une panne de service car le serveur DHCP ne peut pas fournir de service aux nouveaux clients.

Par exemple:

Supposons que vous ayez un serveur DHCP qui a 3 adresses IP (196.128.12.1, 196.128.12.2, 196.128.12.3) dans son pool d'adresses IP. Le serveur DHCP est utilisé pour attribuer dynamiquement des adresses IP aux périphériques entrant sur le réseau local.

Les périphériques A, B et C entrent dans le réseau en même temps. Le serveur DHCP attribue A - 196.128.12.1, B - 196.128.12.2 et pour C -196.128.12.3.

Toutes les adresses IP du pool d'adresses IP du serveur DHCP ont maintenant été attribuées.

Chaque appareil reste dans le réseau pendant deux heures, puis se déconnecte.

Scénario 1: Aucune période de location. (Les adresses IP sont attribuées en permanence avec une allocation statique.)
Lorsqu'un autre périphérique, D, entre dans le réseau après deux heures, il ne peut pas se connecter au réseau car aucune adresse IP n'est disponible dans le pool IP du serveur DHCP. Toutes les adresses IP ont été attribuées aux périphériques A, B et C de manière permanente.

Scénario 2: Période de location de deux jours. (Les adresses IP sont attribuées dynamiquement.)
Lorsqu'un autre périphérique, D, entre dans le réseau après deux heures, il ne peut pas se connecter au réseau, car il n'y a toujours pas d'adresse IP disponible. En effet, bien qu'après deux heures, les périphériques A, B et C se soient déconnectés du réseau, l'adresse IP qui leur a été attribuée a une période de location de deux jours. Et les adresses IP sont restées allouées pendant les deux jours suivants. Ainsi, l'appareil D ne peut pas acquérir une adresse IP pour se connecter au réseau.

Problème: Dans ces deux scénarios (avec et sans période de bail), avec un pool de 3 adresses IP, le périphérique D n'a pas pu se connecter au réseau.

Solution: La solution consiste à implémenter DHCP avec une période de bail de deux heures comme exigence.

À la fin de la période d'allocation de deux heures, le bail expire pour les appareils A, B et C. Les appareils qui choisissent de rester dans le réseau peuvent renouveler le bail, tandis que le bail expire pour les autres appareils.

Ainsi, lorsque le périphérique D entre dans le réseau, le bail du périphérique A aurait expiré et l'IP 196.128.12.1 aurait été récupérée dans le pool IP. Cette adresse IP peut ensuite être attribuée à l'appareil D.

Les 4 étapes de DHCP: le processus DORA

Le processus d'attribution d'une adresse IP et d'autres paramètres de configuration réseau par le serveur DHCP au périphérique réseau se déroule en quatre étapes:

  1. Découvrez le serveur DHCP.
  2. Offrir un bail IP.
  3. Demander un bail IP.
  4. Accuser réception de la demande.
Main functions of DHCP

Étape 1: Le client DHCP découvre le serveur DHCP.

Pour qu'un appareil communique au sein d'un réseau, il nécessite une adresse IP. Un périphérique client DHCP acquiert l'adresse IP et les paramètres réseau en diffusant un paquet UDP appelé DHCPDISCOVER au sein du réseau.

Lors de la réception de la diffusion DHCPDISCOVER, tous les serveurs qui ne font pas autorité rejettent ou ignorent le message. Les serveurs DHCP au sein des réseaux reçoivent et traitent le paquet de diffusion.

Le message DHCP Discover contient des détails tels que:

Port source UDP 68
Port de destination UDP 67
IP source 0.0.0.0
IP de destination 255.255.255.255
Contenu du paquet DHCPDISCOVER

Ici, l'adresse IP source du paquet de diffusion est 0.0.0, car le périphérique client n'a pas encore reçu d'adresse IP. Avec l'adresse IP de destination 255.255.255.255, le paquet de diffusion est envoyé à tous les périphériques du réseau, via un processus appelé diffusion limitée. L'adresse IP de destination peut être définie sur un ID de sous-réseau particulier pour permettre une diffusion dirigée.

Étape 2: Le serveur DHCP offre les paramètres de configuration IP et réseau au client.

Lorsqu'un serveur DHCP valide reçoit le message de diffusion DHCPDISCOVER, il réserve une adresse IP dans son pool d'adresses IP et offre cette adresse IP en location au client demandeur. Il transmet son offre de bail IP, le masque de sous-réseau et les passerelles par défaut au client demandeur via un message DHCPOFFER .

Port source UDP 68
Port de destination UDP 67
IP source 192.168.31.9
IP de destination 255.255.255.255
Contenu du paquet DHCPDISCOVER

Ici 192.168.31.9 est le serveur DHCP qui propose une adresse IP de son pool. Traditionnellement, ce message d'offre est envoyé au client en spécifiant le matériel ou l'adresse MAC du client.

Étape 3: Le client reconnaît l'offre DHCP requise et demande le bail IP.

À la réception d'un message DHCPOFFER, le client demande l'attribution de l'adresse IP proposée via le message DHCPOFFER en envoyant un message DHCPREQUEST au serveur. Ce message signale au serveur DHCP d'attribuer l'adresse IP proposée en location au client.

À la réception de plusieurs messages DHCPOFFER des serveurs du réseau, le client envoie un message DHCPREQ (requête DHCP) uniquement au serveur DHCP dont le message a été reçu en premier par le client. Les autres offres sont rejetées ou ignorées.

Port source UDP 68
Port de destination UDP 67
IP source 0.0.0.0
IP de destination 255.255.255.255
Contenu du paquet DHCPREQ

Étape 4: Le serveur DHCP accuse réception de la demande de bail IP des clients.

À la réception du message DHCPREQUEST, le serveur DHCP attribue l'adresse IP au client et l'enregistre dans son magasin de données. Le serveur confirme l'adresse IP allouée, le masque de sous-réseau et les détails de la passerelle par défaut en envoyant un message DHCPACK (accusé de réception DHCP).

Le client peut maintenant commencer à utiliser les paramètres d'allocation IP et réseau.

Port source UDP 68
Port de destination UDP 67
IP source 192.168.31.9
IP de destination 255.255.255.255
Contenu du paquet DHCPACK

Le client DHCP se configure avec les paramètres réseau reçus.

Agent de relais DHCP

Les appareils peuvent envoyer des messages de diffusion uniquement au sein du réseau dont ils font partie. Ils ne peuvent pas diffuser de messages sur les réseaux ou sous-réseaux. Lorsqu'il n'y a pas de serveur DHCP valide dans un réseau, un périphérique de ce réseau ne peut pas acquérir une adresse IP car il ne peut pas diffuser de messages DHCPDISCOVER aux serveurs en dehors de son réseau.

Ce problème est résolu en utilisant un agent de relais DHCP.

Disons qu'il existe deux réseaux, le réseau A et le réseau B, connectés par un routeur. Il existe un serveur DHCP valide sur le réseau A. Chaque périphérique du réseau A peut acquérir un bail IP via ce serveur. Imaginez qu'il n'y ait pas de serveur DHCP sur le réseau B. Comme les appareils ne peuvent pas diffuser entre les réseaux, les appareils du réseau B ne peuvent pas acquérir de bail IP.

Les deux façons de résoudre ce problème sont les suivantes:

  • Utilisez un serveur DHCP distinct dans le réseau B.
  • Utilisez un agent de relais DHCP.
DHCP relay agent

Nous utilisons un agent de relais DHCP en configurant le service de relais DHCP dans l'un des périphériques du réseau B. Ce périphérique reçoit ensuite les messages de diffusion DHCPDISCOVER des clients du réseau B, et les transmet au serveur DHCP du réseau A. Le serveur envoie le DHCPOFFER à l'agent de relais du réseau B, qui diffuse le message au sein de son réseau. De même, les messages DHCPREQ et DHCPACK sont échangés entre le client DHCP dans le réseau B et le serveur DHCP dans le réseau A en les relayant via l'agent DHCP qui peut agir comme l'homme du milieu.

Pourquoi un agent de relais et non un serveur DHCP est-il utilisé pour les sous-réseaux?

L'utilisation d'un serveur DHCP distinct dans le réseau B présente deux difficultés par rapport à l'utilisation d'un agent de relais:

  • Coût - Le coût de mise en œuvre d'un serveur DHCP distinct est plus élevé que la configuration d'un agent de relais.
  • Frais généraux de gestion - La gestion de serveurs DHCP séparés dans différents réseaux augmente la surcharge de gestion du réseau pour l'administrateur réseau.

La configuration d'un agent de relais distinct rend le processus beaucoup plus facile. L'agent de relais peut être un périphérique au sein du réseau, ou le routeur réseau lui-même peut être configuré pour fournir un service de relais DHCP.

Attaques DHCP et sécurité

Le DHCP de base n'a pas de mécanismes d'authentification ou de validation standard. Cela peut ouvrir le réseau à:

  • Serveurs DHCP non authentifiés ou non fiables fournissant de fausses offres DHCP aux clients DHCP valides ou authentiques.
  • Les serveurs DHCP authentiques ou valides peuvent finir par fournir des offres DHCP aux clients DHCP non authentiques ou non autorisés qui tentent d'accéder au réseau.
  • Les attaques d'épuisement des ressources de clients DHCP malveillants peuvent entraîner des pannes de service pour les clients DHCP valides du réseau.

L'usurpation DHCP est l'une des attaques DHCP courantes.

Usurpation DHCP

Un attaquant ou un agent malveillant peut se faire passer pour un serveur DHCP valide en utilisant la technique de l’homme du milieu. Cet attaquant peut être un routeur non autorisé ou sans fil avec un serveur DHCP intégré. Lorsqu'un client DHCP valide envoie un DHCPDISCOVER, l'attaquant du réseau envoie un DHCPOFFER. Lorsque le client demande et commence à utiliser l'adresse IP fournie par le serveur de l'attaquant, la passerelle par défaut donnée par l'attaquant permet à l'attaquant d'obtenir une visibilité de tout le trafic entre le client et le réseau via la passerelle par défaut. Ainsi, l'attaquant peut espionner le trafic d'un client.

Pour éviter cette attaque, les administrateurs réseau configurent la surveillance DHCP dans le réseau.

Surveillance DHCP

La surveillance DHCP permet à un commutateur de traiter un message DHCPOFFER uniquement s'il a été envoyé via un port approuvé.

Le processus de surveillance DHCP consiste à marquer tous les ports comme non approuvés au départ. L'administrateur réseau marque alors uniquement les ports DHCP valides du réseau comme valides. Lors de l'envoi d'une diffusion DHCPDISCOVER, le client supprime tous les DHCPOFFERS reçus de ports non approuvés et envoie une DHCPREQUEST uniquement à l'offre qui a été envoyée via les ports valides. Ainsi, les paquets qui auraient pu être envoyés par des attaquants sont rejetés.

DHCP snooping

La surveillance DHCP renforce l'infrastructure DHCP dans un réseau.

Configuration des serveurs et clients DHCP

Les administrateurs réseau peuvent configurer les serveurs et les clients DHCP manuellement et afficher le bail IP et la configuration des clients DHCP à l'aide de commandes natives. Quelques-uns d'entre eux sont répertoriés dans le tableau ci-dessous.

Command
DHCP Configuration
ipconfig /all
Affiche les détails du protocole Internet tels que l'adresse IP de l'appareil, le masque de sous-réseau et la passerelle par défaut
ipconfig /release
Il libère la configuration IP actuelle attribuée à l'appareil (résiliation du bail).
ipconfig /renew
Renouvelle ou prolonge la période de location des configurations IP attribuées à l'appareil.
ip dhcp snooping
Marque tous les ports du réseau comme non approuvés.
ip dhcp snooping vlan number [number]
La spécification du numéro de VLAN dans le champ [nombre] active la surveillance DHCP sur le VLAN particulier.
interface [interface id]
IP dhcp snooping trust
Marque l'interface spécifiée comme approuvée, authentifiant tous les messages DHCPOFFER reçus via cette interface comme des messages valides.
show ip dhcp snooping
Affiche des informations générales sur la surveillance DHCP.
Show running-config dhcp
Affiche les configurations de surveillance DHCP en cours d'exécution.

Bien que les commandes natives activent les configurations DHCP dans le périphérique, la configuration des serveurs et des clients DHCP à l'aide de ces commandes est longue et fastidieuse à mesure que le réseau évolue. Pour administrer les serveurs DHCP dans les grandes organisations, il est recommandé d'utiliser un logiciel de gestion des ressources réseau, tel qu’OpUtils ManageEngine.

Pourquoi DHCP est-il utilisé?

Les serveurs DHCP sont les éléments constitutifs de l'infrastructure réseau. En raison de leur facilité de fonctionnement et d'utilisation, les serveurs DHCP sont utilisés dans des opérations petites et grandes, des réseaux domestiques aux réseaux d'entreprise.

Les avantages de l'utilisation de serveurs DHCP sont:

Utilisation optimale de l'espace d'adressage IP: L'attribution manuelle d'adresses IP aux périphériques d'un réseau peut entraîner un gaspillage IP car les adresses IP restent attribuées même après la déconnexion de l'appareil du réseau.

Réservation IP: DHCP permet de réserver des adresses IP spécifiques pour des appareils spécifiques. Ces adresses ne sont pas attribuées à d'autres appareils, même lorsque les appareils attribués ont été déconnectés du réseau.

Allocation dynamique: Le serveur DHCP automatise la tâche banale d'attribution manuelle d'adresses IP. Les adresses IP sont allouées dynamiquement et récupérées dans le pool IP.

Réduit les conflits IP: L’allocation manuelle peut entraîner l'attribution de la même adresse IP à plusieurs périphériques, entraînant des conflits IP. La location IP DHCP élimine ce problème.

Gestion simplifiée: Le magasin de données DHCP tient à jour les journaux des utilisateurs, tels que l'utilisateur auquel l'adresse IP est allouée, sa période de location et d'autres paramètres réseau.

Évolutivité: Les routeurs DHCP prennent en charge l'évolutivité du réseau.

Gestion des serveurs DHCP avec OpUtils

Les infrastructures réseau complexes utilisant DHCP peuvent être facilement gérées avec OpUtils, un gestionnaire de ports IP et de commutation réseau complet. OpUtils s'intègre aux serveurs DHCP populaires offrant:

  • Moniteur d’étendue DHCP: L'outil Moniteur d’étendue DHCP d’OpUtils fournit des détails sur le serveur DHCP, tels que le nom DNS associé, le temps de décompte des étendues, etc.
  • Détection des périphériques non autorisés: Comme indiqué précédemment, le serveur DHCP peut permettre aux périphériques non autorisés d'obtenir un accès non autorisé au réseau. La fonction de détection des périphériques non autorisés d'OpUtils analyse l'ensemble du réseau et détecte les activités malveillantes et les tentatives de violation du réseau. L'administrateur réseau peut marquer ces appareils comme approuvés, invités ou non fiables. Les périphériques marqués comme non fiables ne peuvent pas récupérer des périphériques non autorisés à partir du réseau.
  • Sans code: Avec l'interface utilisateur sans code d'OpUtils, les administrateurs réseau peuvent facilement gérer les serveurs DHCP et les adresses IP sans utiliser la syntaxe ou les commandes IP natives.
  • Détails IP: Le gestionnaire d'adresses IP d'OpUtils fournit des informations complètes sur les adresses IP du réseau. Les administrateurs réseau peuvent l'utiliser pour afficher des détails tels que l'adresse MAC à laquelle l'adresse IP est allouée, l'état de la recherche DNS, le type de périphérique, etc.
  • Journaux IP historiques: OpUtils fournit un journal IP historique de tous les utilisateurs auxquels l'adresse IP a été attribuée et de l'utilisateur actuel de l'adresse IP.
  • Analyse des ports: OpUtils permet à l'utilisateur d'analyser les ports ouverts sur le réseau. Les administrateurs réseau peuvent bloquer les ports autorisant le trafic malveillant, sécurisant ainsi le réseau contre tout accès non autorisé.
  • Advanced IP Address Tracker - ManageEngine Oputils
  • IP Address Tracker Tools - ManageEngine Oputils
  • IP Address Tracking Software - ManageEngine Oputils
PrécédenteSuivante

OpUtils offre une gestion améliorée des ports IP et de commutation, y compris l'analyse, la surveillance et la gestion du réseau en temps réel avec un dépannage réseau plus rapide et plus facile.

Nouveau sur OpUtils? Planifiez une démonstration gratuite avec un expert produit ou faites une visite guidée des fonctionnalités pour voir comment OpUtils peut vous aider à gérer vos ressources réseau. Vous pouvez également télécharger un essai gratuit de 30 jours pour déployer et essayer OpUtils sur votre réseau. Vous avez un devis en tête? Faites-nous savoir.