dhcp来与ipv6的

dhcp的，是广泛用于配置主机与ipv4地址和更多的信息。 如果你有一个ipv6网络，你不用dhcp的配置你的主机地址信息。 无状态自动配置机制将配置你的主机为自己的ipv6地址，而不需要成立一个dhcp服务器。 所有你需要做的是配置你的ipv6功能的路由器与前缀的资料，以便联系，他们都附上。 但你可能仍然会选择有dhcp的服务器，在某些情况下。 主机配置，其中包括指派ipv6地址使用dhcp是所谓有状态自动配置或状态配置。 或许您有一个具体的ipv6解决方案;或者，你需要动态分配的域名服务器上;或者，你不选择有mac地址作为一个部分的ipv6地址;或者，你想实现动态更新域名系统（ rfc 2136 ） 。 在这些案件中，你可以使用dhcp来进行地址配置。 您还可以结合起来，无国籍人，并有状态自动配置用无国籍的自动配置，为ipv6地址配置和dhcp服务器，以提供额外的配置信息，包括但不限于dns服务器ip地址或域名系统域名。

rfc 3736提供了一个额外的配置选项。 它定义了一个无国籍dhcp服务为ipv6 。 无国籍dhcp服务器可以配置主机已经有一个ip地址与附加信息如dns或sip的服务器。 它不能做的地址分配，虽然。 无国籍dhcp的解释是，在这篇文章后，一节有状态配置。

配置和dhcpv4独立董事。 如果您想要配置主机与dhcp在双协议栈网络，目前，你需要两个单独的dhcp服务运行，其中每议定书。 在这种情况下，你也势必要有所警惕配置冲突。 在dhcpv4世界中，客户端的配置，以了解是否使用dhcp来。 在配置的世界里，路由器广告有选择地通知客户是否使用dhcp来。 可能有不同的配置信息到达客户端，从不同的来源，或者一个节点可能有多种介面，例如，其中之一是ipv4的，只有1人被双叠。 配置采用了独特的识别标志（ duid ） ，其中并不存在dhcpv4 。 在境界dhcpv4 ， mac地址和客户身份类似于duid在配置，但并非同义。 有正在进行维修工作，使duid供dhcpv4也。

该dhcp的工作小组，进一步评估要求和评估的解决方案，这将使双协议栈的主机配置为这两项议定书，由一个或一个以上dhcp服务器。 草案- ietf的-钻石山火葬场-双栈- 04.txt进入更详细叙述了发现的问题与双叶版dhcp的相互作用。 最重要的一个方面是如何处理可能出现的问题，客户加工配置收到的资料都dhcpv4和配置服务器。

为发展留下，遵循下列准则最初的定义：

• 它必须有可能结合起来， dhcp和无国籍的自动配置。

• 该配置dhcp和互动，与其他机制（例如，无国籍的自动配置） ，是负责的管理员。

• 客户不需要配置手工完成。

• dhcp的，必须能够配置多个地址，每接口。

• dhcp服务器，是不是需要在每个子网。 中继代理必须能够向前dhcp封包。

• 客户必须能够处理多种dhcp的答复回来，从不同的dhcp服务器。

• 它必须有可能有子网的地方，只有部分客户都是配置的dhcp 。

• dhcp的，不取决于存在一个路由器。 路由器只需要如果无国籍自动配置使用。

• dhcp的，必须能够做到动态dns更新登记，分配地址的域名系统。 管理员可以决定要更新dns的手工操作。

• dhcp的一定要支持，并简化重编的一个网络。

dhcp的条款

让我们定义了一些常见的术语用于配置：

dhcp客户

而dhcp客户端发送请求到一个dhcp服务器，以获得配置信息。

dhcp服务器

dhcp服务器的预答辩，以客户的要求。 知悉配置为每个客户端。 当收到客户端请求，它发送信息返回到客户端。 dhcp服务器可能是也可能不是在同一环节作为客户端。

dhcp中继代理

如果没有dhcp服务器对客户端的连接，中继代理必须配置客户端连接。 中继代理收到客户端请求，并转交一个或一个以上的dhcp服务器（ s ）对另一个子网。 当中继代理接收答案，从dhcp服务器，它转交到客户端。 中继剂是所谓的一个ip帮手，在思科的世界。

dhcp的独特标识（ duid ）

每个dhcp客户和服务器有一个duid 。 dhcp的服务器使用duids ，以确定客户的选择配置参数，并在该协会的国际会计准则与客户。 dhcp的客户端使用duids找出一台服务器中的信息，如服务器的需要加以确定。

身份协会（ ia ）

收藏的地址分配给一个客户端。 每保监处已美联社身份协会标识符（ iaid ） ，这是指派的客户端。 客户可以有多种iasfor举一个例子，为每个接口。

身份协会标识符（ iaid ）

标识为五十五所选择的客户端。 每保监处已是一个iaid ，这是选择独一无二各iaids为国际会计准则属于这个客户端。

交易编号

值用来匹配请求和答复。

dhcp的使用下列组播地址：

all_dhcp_relay_agents_and_servers （ ff02 ： ： 1:2 ）

所有的dhcp代理商（服务器和继电器）的成员，这个多播组。 dhcp的客户端使用这个链接- scoped组播地址，以达到dhcp的代理商对他们的联系汇率制度。 所以客户不必知道代理人的链接本地地址。

all_dhcp_servers地址（ ff05 ： ： 1:3 ）

所有的dhcp服务器在一个地点内的成员，这个多播组。 这个站点- scoped地址是用dhcp的继电器，以达到所有的dhcp服务器，在一个地点。 他们或者不知道该服务器的单播地址，或他们想要达成所有的dhcp伺服器内的站点。

以下udp端口是用来与配置：

udp的港口546client港口

听取客户对港口546为dhcp的讯息。 dhcp的服务器和继电器使用它作为目的地港口，以达到dhcp的客户。

udp的港口547server/agent港口

dhcp的服务器和继电器听取有关港口547为dhcp的讯息。 dhcp的客户端使用这个港口作为目的地港口，以达到dhcp的服务器和中继代理。 dhcp的继电器利用这个港口作为目的地港口，以达到dhcp的服务器。

dhcp服务器发起的配置交换是一个伟大的新功能。 它可以用来，例如，当链接在dhcp域都必须重编或当新的服务或申请已被列入需要加以配置的客户。 当服务或应用需要进行配置，对客户端， dhcp服务器发出了一个重新配置信息（类型10 ） 。 客户收到这个讯息必须发起一个续约或信息请求报文交换，以得到最新消息。 我们不是一直在等待这个吗？

这可能也是做dhcpv4 ，但它却很少得到执行。 ipv4的处事方法，这是定义在rfc 3203 。 1 dhcpv4服务器发送一个dhcpforcerenew讯息，触发客户端更新的国家，这使得它试图延续其契约规定。

配置头格式

一般配置头格式简单得多，比一个用dhcpv4 。 我形容它未来。

客户机-服务器信息

所有的dhcp信息交换之间的服务器和客户端有一个固定的头一浮动部分为选项。

选择定义在rfc 3315是一个基础集的选择。 在未来，更多选择，将界定并在单独rfcs 。

有些规格与附加选项已经公布：

rfc 3319年， "动态主机配置协议（配置）选项会话发起协议（ sip ）服务器"

会议发起协议（ sip ） ，是指在rfc 3261 。 这是一个控制协议，为建立，变更，终止和多媒体会议或来电。 该部件是一个sip的服务器和一个sip的客户端。 rfc 3319定义两个配置选项配置一个sip的客户，为当地的sip服务器。 客户将利用这种服务器，为所有即将离任的学校改善工程计划的要求。 第一种选择（选择代码21 ）载列的域名，第二个选项（选项代码22 ）是一个名单， 128位ip地址。 该服务器已经被列在议事程序的意愿。 客户必须选择第一服务器在该份名单;如果不回答，客户选择第二个服务器在名单上。 客户可以要求这两个方案中。 然后，使用该域名名单第一和利用知识产权的地址清单只是如果是不成功的。

rfc 3633 "的ipv6前缀选项"

这rfc定义选项可以用来发送前缀信息，从下放路由器或配置服务器到请求路由器已经配置客户端的功能。 这是有益的环境下放权路由器有没有这方面的资料对拓扑学的一个网络连接请求路由器。 一下放路由器或配置服务器，在互联网服务供应商网络利用此选项来配置一个路由器在一个客户网络，它的前缀。 该下放路由器可以，例如，指派一名/ 48前缀至边界路由器在客户网络。 边界路由器可以细分/ 48前缀/ 64子网和广告这些前缀与路由器广告。 dhcp的前缀代表团（ dhcp的钯） ，是相对独立的dhcp地址分配，但两地可以相互结合。

rfc 3646年， "域名服务器配置选项"

rfc 3646定义两个配置方案，供客户端配置的dns域名服务器（期权代码23 ）和域搜索名单（期权代码24 ） 。

rfc 3898年， "网络信息服务（新谢克尔）配置选项"

这rfc界定了四个方案，为网络信息服务（新谢克尔）相关配置信息：尼什服务器（备选型27 ） ，尼什+服务器（备选型28 ） ，尼什客户域名（选装型29 ） ，和尼什+客户端的域名（选择类型30 ） 。 他们可以只用于配置尼什服务，可以达到超过ipv6的。 两个方案供尼什和尼什+服务器提供一个清单， ipv6地址为各自的服务器。 该名单是根据自己的喜好。

rfc 4014 " ，配置中继代理半径属性选项"

本选项激活了网络接入系统（ nas ）的，这也可以作为一个配置中继代理，通过沿属性，为用户的设备（收到在半径认证） ，一dhcp服务器。 在nas ，使用半径作为一个权威的认证，将获得属性，从一个radius服务器可以利用这些dhcp服务器在挑选配置参数，将交付给该装置获取要求。

rfc 4075年， "简单网络时间协议（系）配置选项配置"

简单网络时间协议服务器的选择提供了一个清单，一个或多个ipv6地址的端口服务器提供给客户端的同步。 客户使用这些端口服务器同步系统及时地说，该标准的时间服务器。

这是地位在当时的写作，而是积极的发展之中。 如果你想加快速度与最新的地位，在当时你的阅读，是指以dhcp的工作组在http://www.ietf.org/html.charters/dhc-charter.html 。 有您也可以找到所有的草稿说，也正在进行中。

继电器agentserver消息格式

中继代理着客户端和服务器端的信息，如果两者不是对同一环节。 而dhcp讯息，可转交由一个以上的中继代理的一个或多个服务器（ ） 。 答复由服务器已经走一条路回到通过它原来的要求来的话，并已被送交由同一继电器代理商。

接力前进，并转达答复的讯息有相同的格式，而且所确定的价值，在口信中的类型字段中。 12型是一个中继着电文， 13型继电器的答复信息。

该和合计数领域中的继电器着讯息显示，有多少继电器已转交了这一信息。 每个转发中继增加值减一。 该继电器可预先配置与和合计数限额，以限制人数的继电器前进的讯息。 当一个中继接到一个信息，其中合计数，达到了价值配置在跳计数限制，它摒弃了的讯息。 默认值为和合计数极限是32 。 在一个中继答复的讯息，和合计数场价值是取自和合计数领域中的相应继电器着讯息。

这个链接地址域包含一个全球ipv6地址。 基于此领域中的继电器着信息，该服务器软件可以识别链接如果请求当事人行使职能。 该rfc还提到站点本地地址作为一个可能的价值，为这一领域的，因为留下rfc出版，然后才进行实地本地地址被废弃。 在一个中继答复的讯息，其价值在这一领域采取的是从相应的接力前进的讯息。

同行地址域包含地址的客户或中继，从其中得到的信息是。 这一领域是抄袭接力着信息到相应的领域中的继电器答复的讯息。

可变大小选择域包含一个中继信息选项（选项类型9 ） 。 在一个中继着信息，它包含客户端请求的人;在一个中继答复信息，它包含服务器的答复。 这个字段可以包含更多的资料，可以预先对继电器代理商和他们插入时，转发讯息。

dhcp的独特标识

每个dhcp客户和服务器有一个dhcp的独特标识（ duid ）这是用来识别对方。 一台服务器用途的客户duid选择相应的客户端配置将被送到。 该duid要独特跨越所有服务器和客户端，不应该改后初始转让。 rfc 3315年订定三种不同类型的duids 。 额外的类型，可在指定的未来。 1 duid包含一个2字节型代码后，有一个可变的字节数载标识符。 三种类型指定，目前分列如下：

• 链路层地址加上时间（ duid -分解）

• 厂商特定的独特身分基于企业数（ duid恩）

• 链路层地址（ duid - 11 ）

身份协会

一个身份协会（ ia ）是一个对象所使用的伺服器和客户端，以确定和管理的一组地址。 每五十五，是确定相应iaid并包含个人配置信息。 客户应至少有一处五十五％界面，也就是配置一个dhcp服务器。 客户端使用保险业监理处，以获得正确的配置界面，从服务器。 每保监处已被相关只有一个接口。 它是客户选择了iaid ，它必须是独一无二的。 该配置信息的一个五十五含有一个或多个ipv6地址加上当中的定时器。

dhcp服务器选择配置信息，为保险业监督根据该地址分配政策，界定了由署长。 它选择的配置，是基于下列标准：

• 链接，其中客户端是连通

• 该duid的客户

• 其他提供的资料，选择从客户端

• 其他资料取自选项，其中已加入由中继代理

dhcp的沟通

也有不同的工序在dhcp沟通。 有客户-服务器相互作用和转发的信息超过继电器的代理商。 以下各节描述这些过程更详细的描述。 许多过程是相似dhcpv4 ，不同的只是在ipv6相关的适应问题。 其他进程正在newfor举例说，路的讯息，均会送交超过继电器的代理商。

客户端和服务器端的通信

委托人利用组播征求信息，以找到一个dhcp服务器。 如果客户要联系一个具体dhcp服务器，它使用服务器duid在一台服务器标识符选项（选项2型） 。 所有的dhcp服务器将得到这个讯息，但只有服务器的具体办法由duid会答辩。 在某些情况下，客户可以使用一个单播地址，以达到特定的服务器上。 这是可能的，只有当服务器配置，以送一台服务器单选项（选项12型）表示，单播通信是可能的，说明ip地址来使用。 在这种情况下，它必须考虑到这些单讯息不会被送交超过继电器的代理商，所以任何配置做中继代理不会被插入到单播的dhcp讯息。

客户端收到一个或更多的广告信息，在回答其征求讯息。 如果它收到一个以上的，它适用于下列准则，以选择一个dhcp服务器：

• 信息与服务器的最高价值取向是首选。

• 如果有几个信息，并在平等的服务器偏好价值，它选择一个与推荐配置。

• 客户也可以选择一个信息，以降低服务器的价值取向，如果它载有更合适的配置参数。

名单上的服务器和相应的偏好值是储存在客户端。 这难道不应该得到答复，其首选dhcp服务器，它会选择在下一个在名单上。 如果客户不接受一个答案，从dhcp服务器内一定数额的时候，它要么启动一个新的发现过程，派另一征求讯息或两端的配置和制造一种错误的讯息。

在回答有关广告讯息时，客户端发送一个请求信息，其中的dhcp的服务器，包括其保险业监督办法，其客户duid ，以及一个选项要求选择，其中载有理想的dhcp选项。 服务器答复，答复包含所要求的选择。 如果服务器收到请求转交的一个中继代理，在一个中继着讯息，它会回复一个中继答复电文送交较上年继电器代理商一样来袭请求消息。 服务器国旗的地址给在答复讯息分配。 如果客户端得到的答复多，它会选择最恰当的，并利用这些地址。 地址分配由其他服务器通过其广告讯息仍拨，但没有使用。 他们将再用由dhcp服务器时，其寿命已经过期。

客户必须履行的重复地址检测（爸爸） ，为每一个地址分配由dhcp服务器。 一个典型的dhcp沟通，由一个客户端是否有状态地址自动配置看起来如下：

1. 客户发出征求信息。

2. 服务器（ ）的答复与广告讯息。

3. 客户端发送请求消息中，以一台服务器。

4. 服务器答复，答复的讯息。

这项沟通，可缩短到只有两个信息，并迅速作出承诺的选择。 在这种情况下，客户端发送一个征求讯息与快速犯下期权计算在内。 服务器答复与回应讯息，也包含快速犯下的选择。 如果客户发出了一个信息，征求具有快速犯下的选择，它会不顾任何答复说，不包含快速犯下的选择。 如果客户端没有收到任何答复，包括快速犯下的选择，它可能接受一个来袭的广告信息，并继续正常的配置过程。 如果一台服务器收到征求讯息，以快速犯下的选择，并没有配置使用它，它的答复与经常性广告的讯息。 虽然这是事实，迅速承诺提供了一个更有效的办法来解决转让费只用两个讯息，就必须慎重选择。 视配置和数量的dhcp服务器，它可能会导致浪费地址空间或的情况下，多配置服务器，相信他们每个分配地址的请求客户。 一旦dhcp服务器已分配的地址在答复的讯息，以快速犯下的选择，它就要承担ip地址给客户端。

客户使用的要求，更新， rebind ，发布，和衰落的讯息作为必要为一辈子的，其服务器分配的地址。 如果客户端交换机连接或子网（例如，在一个无线网络或后苏醒，从睡眠模式） ，它已发起一个确认/答复交流。 它这是否派遣国际会计准则和相应的地址和选择。 如果客户端没有得到答复，以确认它的讯息，它应继续使用原来分配的地址。

释放一个或一个以上的，其地址，客户发出了一个释放的讯息，其中载有保险业监理处及相应的地址和选择。 服务器上的答案与答复。 如果客户端没有得到答复，它发出另一种释放的讯息。 这是不可能的，在所有casesfor举例来说，如果客户是关停。 如果一个dhcp服务器没有得到释放讯息，它会重用地址时，其寿命已经过期。

如果客户看见一个分配地址是已经投入使用（例如，通过爸爸） ，它传达了一个讯息，下降到服务器上。 这个信息包含一个交易号，客户识别码，服务器标识，地址（安老服务） 。

如果一个dhcp服务器收到单播信息，从客户，因为它并没有派遣单选项，它的答复与回应讯息载状态码" ，用多播" （选择13 ，代码5 ） 。

更新/ rebind

如果客户想刷新了一辈子的，其有效期和首选地址，它发出了一个续约（ 5型） ，包含保险业监理处地址的选择和地址与此相应，保险业监督。 服务器确定了相应的寿命和发送一个应答报文到客户端。 这样做，它也可能增添新的地址或拆除旧地址，确定其寿命为0 。

如果一台服务器获得更新的信息，为保险业监督，为此它没有进入，它的答复与回应讯息设定状态码，以"无约束力" （选择13 ，代码3 ） 。 如果客户想更新地址是不是有效，其链接时，服务器发送一个应答报定在有生之年为地址为0 。

服务器控制的间隔中一名客户已延续其地址通过定时器t1和t2预先配置和相关各五十五。 当客户端到达的时候表示，由t1处理器，它已经开始更新的过程。 当一个客户端到达的时候表示，由t2的，这表明其更新的讯息并没有得到回答。 在这种情况下，它传达了一个讯息， rebind所有的dhcp服务器。 该rebind讯息载保监选择与目前分配地址，并选择要求选择与所有想要的dhcp选项。

当一台服务器收到rebind信息，并认定相应的保险业监督，它的答案与回应讯息。 如果地址没有有效期为联系了，它规定了在有生之年为0 。 如果客户不接受一个答案，一rebind信息，它不能再作使用的地址（安老服务） 。 在这种情况下，它有两个选择：

• 重启地址配置，派出了一个征求讯息，以找到一个dhcp服务器。

• 如果客户有其他有效的国际会计准则，它不能忽视，过期ia和使用其他地址。

资料请求

如果客户已经有ip地址，但要得到其他的dhcp信息，它发出一个信息请求消息。 这个信息包含一个选项要求选择显示预想的dhcp选项。 举例来说，如果客户是配置状态地址自动配置和路由器配置，以定邻旗（其他有状态配置）在路由器广告，这会导致客户端发送一个信息请求消息中得到更多的信息，如dns的，不扩散条约，或者sip的服务器配置。 信息请求消息也是客户端发送的，在回答一个重新配置的信息，从服务器。

重新配置过程

服务器发送一个重新配置的信息，从而引发客户发出续期或信息请求消息。 这是有益的当服务器已经更新了新的或修改的信息，以确保新的信息宣传工作能尽快进行。 在重新配置的信息，交易id是设置为0 ，并包含一个服务器标识选项包括服务器duid和一个用户标识符选择含有客户duid 。 此外，选择权的要求，选择能一起发送，以显示到客户端选项，其中有改变或增加了。 选择请求选项包含一个五十五解决方案（ 5型） ，如果客户需要重新配置其ip地址。 与重新配置信息选项（类型19 ） ，服务器表明是否客户已派遣一个续约或信息请求消息。

由于危险的拒绝服务攻击，使用安全机制是强制性的，在重新配置的信息，这意味着该服务器已经安装使用dhcp的认证。 服务器发送一个重新配置信息传递到单播ipv6地址的，每个客户端。 如果它不知道单播地址的客户端，而它发出的讯息作为中继答复信息传递到中继代理。 而客户端是在一个重新配置过程中，它不接受进一步的重新配置信息。 一个新的历程，可以立刻启动，只计算一次初始过程已经完成。

中继代理通信

路中继代理前锋dhcp的信息，并留下颇为不同的方式，这是做dhcpv4 。 下一节描述中继代理通信详细研究。 中继代理的是通常被称为是一个ip帮手，在思科的世界。

中继代理利用all_dhcp_severs组播地址（ ff05 ： ： 1:3 ） ，以推动信息，以dhcp的服务器。 它可配置为使用单播地址。 中继代理需的信息来自客户建立了接力着message.in联系地址域，它集其全球ipv6地址与前缀的联系上客户居住。 从这个地址， dhcp服务器决定为前缀，它已分配地址。 该和合计数设置为1 。 The Source address from the original address (i.e., the client IP address) is copied into the Peer Address field of the Relay Forward message. The original DHCP message is copied into the Relay Message Option field. The Relay Agent can now add other information that has been preconfigured by the administrator.

When a Relay Agent receives a Relay Forward message from another Relay Agent and the value of the Hop Count field reaches the preconfigured value for the Hop Count Limit, it ignores the message. With the Hop Count Limit, the number of Relay Agents that forward a DHCP message can be limited. If the Hop Count is smaller than the Hop Count Limit, the message is forwarded. It encapsulates the packet into another Relay Forward header, increases the Hop Count by one, and copies the Source address of the previous Relay Agent into the Peer Address field. The Link Address field is set to 0. The message received is copied into the Relay Message Option.

As already mentioned, the Relay Reply message has to be forwarded over the same Relay Agents as the Relay Forward message. With the process just described, each Relay Agent encapsulates the received message into a new Relay Forward header, which makes it possible for the DHCP server to track the way back. In the last Relay Message Option, the server finds the original request from the client. It replies to it and copies the answer into the Relay Message Option of a Relay Reply message. It encapsulates this reply into as many Relay Reply headers as the Relay Forward message has received. So the Relay Reply travels the same way back through the same Relay Agents. Each Relay Agent on the path decapsulates the exterior header and forwards the message to the next Relay Agent. The last Relay Agent on the path receives a Relay Reply message, which contains the server reply in the Relay Message Option field. It removes the Relay Reply header and forwards the server reply to the client.

The communication looks as follows:

1. Client C sends a DHCP Request (Packet 1, not shown above).

2. Relay Agent A forwards the client request in a Relay Forward message (type 12) to Relay Agent B (packet 2). It copies its address into the Link Address field. The client request is copied into the Relay Message Option.

3. Relay Agent B forwards the message to the DHCP server (packet 3). It sets the Link Address field to 0 and copies the address of Relay Agent A into the Peer Address field. Packet 2 received from Relay Agent A is copied into the Relay Message Option.

4. The DHCP server sends a Relay Reply (type 13) to Relay Agent B (packet 4). The Hop Count, Link Address, and Peer Address fields are copied from the Relay Forward message. The Relay Message Option contains the packet, which has to be sent from Relay Agent B to Relay Agent A (packet 5).

5. Relay Agent B decapsulates packet 5 and forwards it to Relay Agent A.

6. Relay Agent A takes the server reply from the Relay Message Option and forwards it to Client C.

Security Considerations

Attacks based on DHCP functionality are possible in the IPv4 world as well as in the IPv6 world. The points of attack to be watched are the same:

• External, unknown DHCP servers allocating false addresses to DHCP clients

• Faulty or malicious DHCP servers in the intranet that assign false addresses or other false configuration information to DHCP clients

• Unknown, external clients that attach to the corporate network and receive internal addresses

• Intentional exhaustion of IP addresses by malicious clients, resulting in valid clients being unable to obtain a valid IP address and/or configuration options

• Malicious client(s) transmitting such high volumes of requests that a DHCP server is unable to respond to valid requests

To protect your network from external DHCP servers from outside the corporate network, a firewall closing the ports for DHCP is a good protection. It is important to protect your network from internal DHCP servers. It doesn't even need to be a malicious attack. Very often the problems come from improperly configured test servers. A client can be attacked by a malicious DHCP server configuring it with false information. For instance, a bad DNS or NTP server can be configured, or it can be configured in a way that it cannot communicate in the local network anymore. To protect from such attacks, Authentication should be used.

With DHCPv4, the ways to protect from such attacks are limited. Firewalls only protect from outside attacks. The possibility to use Authentication for DHCP communication exists only in the form of vendor solutions in addition to DHCPv4.

The specification for DHCPv6 includes an Authentication mechanism, which is based on Authentication for DHCPv4 (RFC 3118). New hosts must be authorized and authenticated before they receive configuration information from a DHCP server, the sender of a message must be authenticated, and the content of the message must be protected.

Security for messages between Relay Agents and DHCP servers

For a secure exchange of messages between Relay Agents and DHCP servers, IPsec (in transport mode with ESP) is used. Between each Relay Agent and its communication peers, an independent two-way trust relationship has to be established. If the content of the message is not considered confidential, encryption is not required (null encryption). As the Relay Agents and the DHCP servers are within the corporate network, private keys can be used.

In addition to this, DHCP servers and Relay Agents are configured with the addresses of trusted communication peers. It is therefore not possible for an unknown DHCP server or Relay Agent to intrude into the communication.

DHCP Authentication

The authentication of DHCP messages can be accomplished through the use of the Authentication option (option 11). The authentication information carried in the Authentication option can be used to reliably identify the source of a DHCP message and to confirm that the contents of the DHCP message have not been changed. Multiple authentication protocols can be used with the Authentication option. Two such protocols are specified in RFC 3315: the Delayed Authentication Protocol and the Reconfigure Key Authentication Protocol. Additional protocols may be specified in the future with separate RFCs.

Dynamic Updates to DNS

With the widespread use of DHCP and autoconfiguration for dynamic IP address configuration, the need for a dynamic update of DNS for addition and deletion of records arose. RFC 2136 introduced the mechanism called Dynamic DNS (DDNS). It is supported by BIND Versions 8 and 9 and many popular DNS implementations. The update functionality is usually used by applications such as DHCP, but it can be implemented on hosts as well. With IPv6, dynamic addresses are often assigned using Stateless autoconfiguration, which means there may not be a DHCP server in the network. A DNS update mechanism is necessary on each host to update its DNS records. There are important security aspects to consider when DDNS updates are made. It is important that you can control which nodes are authorized to make changes to your DNS records. Update policies must be implemented and Transaction Signatures (TSIG; see RFC 2845) or Domain Name System Security Extensions (DNSSEC; see RFCs 3007, 4033, 4034, and 4035) mechanisms should be used. RFC 4339, "IPv6 Host Configuration of DNS Server Information Approaches," discusses some of these general DNS aspects for IPv6 hosts.

Stateless DHCP

In environments where Stateless autoconfiguration is used for IP address information, there was no way to configure additional information on the client, such as DNS information or other options. Several solutions were discussed, one being to add such options to the Router Advertisement. Finally, RFC 3736 specified a new service called Stateless DHCP Service for IPv6. A Stateless DHCP server has an implementation of only a subset of the DHCPv6 specification. Its use requires that hosts are already configured for an IPv6 address. A Stateless DHCP server replies to Information Request messages (message type 11) that contain an Option Request option (option type 6) with a Reply message (message type 7). The Stateless DHCP server can also act as a relay agent. This allows configuration of a part of the clients on a link using Stateless address autoconfiguration while getting additional information from the Stateless DHCP server. Meanwhile, other clients use Stateful address autoconfiguration, and their DHCP messages are forwarded by the Stateless DHCP server acting as a relay agent.