DHCP с IPv6

DHCP широко используется для конфигурирования хостов с их IPv4 адреса и дополнительной информации. Если у Вас есть IPv6 сети, не нужно DHCP настроить хостов в адреса. В статусе автоматическую механизм будет настроить хостов за их адресов IPv6 без необходимости создать DHCP сервера. Все что нужно сделать это настроить IPv6 - возможность маршрутизаторы с префиксом информацию для связи, к которому они прилагаются. Но вы, возможно, еще выбирают в DHCP сервера в некоторых случаях. Пребывания конфигурации, которая включает в себя назначение адресов IPv6 с использованием DHCP называется Stateful автоматическую или Stateful DHCPv6. Возможно, у Вас есть конкретный IPv6 решении схемы; Или нужно динамического распределения DNS серверов; Или вы не хотите иметь МАС-адресу в рамках IPv6 адрес; Или вы хотите осуществить динамического обновления DNS (RFC 2136). В этих случаях можно использовать DHCP для конфигурации решения. Также можно комбинировать статусе и Stateful автоматическую используя автоматическую статусе для IPv6 адрес и конфигурацию DHCP серверов предоставить дополнительную информацию о конфигурации, включая, но не ограничиваясь DNS сервера адресов DNS или доменов.

RFC 3736 дает дополнительную опцию. Она определяет статусе службы DHCP для IPv6. В статусе сервера DHCP можно настроить хосты, которые уже имеют адреса с дополнительной информацией, такой как SIP или DNS серверах. Он не может делать уступки адрес, хотя. Статусе DHCP объясняется в статье, после раздела о соединения DHCPv6.

DHCPv6 и DHCPv4 являются независимыми. Если вы хотите настроить хостов с DHCP в двойного стека сети, в настоящее время вам потребуется два отдельных служб DHCP работает, по одному для каждого протокола. В этом случае Вам будет также наблюдать за конфигурацию конфликтов. В DHCPv4 мире, клиент настроен ли использовать DHCP. В DHCPv6 мира, Router реклама имеет возможности информировать клиента о том, следует ли использовать DHCP. Там может быть различной конфигурации, прибывающих на клиентов из различных источников, или узел может иметь несколько интерфейсов, например, одна из которых IPv4 - только и время двойного штабелирования. DHCPv6 используется уникальный идентификатор (DUID), которая не существует для DHCPv4. В сфере DHCPv4, MAC адрес клиента и ID напоминают DUID в DHCPv6, но не являются синонимами. Существует работы продолжаются чтобы DUID для DHCPv4 также.

В DHCP рабочей группы дальнейшей оценки потребностей и оценки решений, которые позволят двойного стека хосты быть настроен для обоих протоколов одним или несколькими DHCP сервера. Проект - знать - dhc - двойного стека - 04.txt выходит более подробно и описывает проблемы, выявленные с двойным ИС версия DHCP взаимодействия. Наиболее важный аспект заключается в том, как решать возможные проблемы в конфигурации клиентов обработки информации, полученной от обеих DHCPv4 и DHCPv6 серверов.

Для развития DHCPv6, следующие руководящие принципы были изначально определены:

• Должна быть предусмотрена возможность объединять DHCP и статусе автоматическую.

• Конфигурация DHCP и взаимодействие с другими механизмами (например, статусе автоматическую) находятся в ведении администратора.

• Клиенты не должны быть настроены вручную.

• DHCP должны иметь возможность сконфигурировать несколько адресов на интерфейсе.

• А DHCP сервера не требуется в каждой подсети. Relay агенты должны быть в состоянии направить DHCP пакеты.

• Клиент должен иметь возможность заниматься несколько DHCP ответов возвращается из разных DHCP серверов.

• Она должна быть возможность для подсетей, где лишь некоторые из клиентов настроенный DHCP.

• DHCP не зависит от наличия маршрутизатора. Маршрутизаторы необходимы только при статусе автоматическую используется.

• DHCP должен иметь возможность делать динамические обновления DNS для регистрации выделенных адресов в DNS. Администратор может принять решение обновить DNS вручную.

• DHCP должны поддержать и упростить нумерации сети.

DHCP Условия

Давайте определить некоторые общие термины, используемые для DHCPv6:

DHCP клиентов

А DHCP клиент посылает запросы на DHCP сервер, чтобы получить информацию о конфигурации.

DHCP Server

А DHCP сервер предварительно ответить на запросы. Она знает конфигурации для каждого клиента. Когда он получает запрос клиента, он отправляет информацию обратно к клиенту. А DHCP сервер может или не может быть по той же ссылке, как клиента.

DHCP Relay агент

Если нет DHCP сервера на клиенте ссылку, откроется реле агент должен быть настроен на клиенте ссылку. В связи агент получает запрос клиента и передает его одному или нескольким DHCP сервера (ов), на другой подсети. Когда реле агент получает ответа от сервера DHCP, он передает его клиенту. А реле агента называется ИС помощником в Cisco мира.

DHCP Unique Identifier (DUID)

Каждый DHCP клиентом и сервером имеет DUID. DHCP используют серверы DUIDs выявить клиентов для выбора параметров конфигурации и в ассоциации ОУ с клиентами. DHCP клиенты пользуются DUIDs определить сервер сообщений, когда сервер должен быть установлен.

Identity ассоциации (НМА)

Сбор адресов возложены на клиента. Каждый IA есть связанный Identity Ассоциация идентификатора (IAID), который назначается по желанию клиента. Клиент может иметь несколько IAsfor например, по одному на каждый интерфейс.

Identity Ассоциация идентификатора (IAID)

Идентификатор для IA выбранной клиентом. Каждый IA имеет IAID, который решил быть уникальным среди всех IAIDs для ОУ, принадлежащих к такому клиенту.

ID транзакции

А стоимость используется для соответствия запросов и ответов.

DHCP использует следующие адреса многоадресной:

All_DHCP_Relay_Agents_and_Servers (FF02:: 1:2)

Все DHCP агентов (серверы и реле) являются членами этой многоадресной группы. DHCP клиентам воспользоваться этой ссылкой - scoped многоадресной адрес достичь DHCP агентов на их связь. Таким клиентам не нужно знать агента ссылка местных адрес.

All_DHCP_Servers адрес (FF05:: 1:3)

Все DHCP серверов в рамках сайта являются членами этой многоадресной группы. Этот сайт - scoped адрес используется DHCP реле достичь всех серверов DHCP на сайте. Они либо не знают сервера unicast адресу, или они хотят достичь всех серверов DHCP в сайт.

Следующие порты UDP используются с DHCPv6:

UDP порт 546Client порт

Клиенты слушать порт 546 для DHCP сообщений. DHCP серверов и реле использовать его как порт назначения достичь DHCP клиентов.

UDP порт 547Server/Agent порт

DHCP серверов и реле слушать порт 547 для DHCP сообщений. DHCP клиентам использовать этот порт, порт назначения достичь DHCP сервера и агентов ретрансляции. DHCP реле использовать этот порт, порт назначения достичь DHCP серверов.

В DHCP сервера - инициатором обмена конфигурации очень новая функция. Он может использоваться, например, когда ссылки на домен DHCP должны быть пронумерованы, или когда новыми услугами и приложениями были включены и должен быть настроен на клиентов. Когда услуг или приложений должен быть настроен на клиента, DHCP сервер направляет один Перенастройка сообщение (тип 10). Клиент получает это сообщение, должны начать Пополнить или Запрос информации сообщение обмена, чтобы получить обновленную информацию. Не мы ждали этого?

Это также может быть сделано с DHCPv4, но редко осуществляются. В IPv4 способ сделать это определено в RFC 3203. А DHCPv4 сервер посылает DHCPforcerenew послание, которое приводит клиента к Пополнить состояние, в котором она пытается возобновить аренду.

DHCPv6 формате заголовка

Общие DHCPv6 формате заголовка намного проще, чем той, которая используется при DHCPv4. Я описать ее рядом.

Клиент - Сервер сообщений

Все DHCP сообщения, которыми обмениваются сервер и клиент имеют фиксированный заголовок в переменную часть параметров.

Варианты определены в RFC 3315 - это базовый набор параметров. В будущем, дополнительные параметры будут определены и конкретизированы в отдельных РЛК.

Некоторые спецификации дополнительных вариантов уже опубликованы:

RFC 3319 ", протокол динамической конфигурации хоста (DHCPv6) Варианты сессия Начало протокола (SIP) Серверы"

Сессия Начало протокола (SIP) определяется в RFC 3261. Это контроль протокол для установления, модификации и завершения мультимедийных сессий или вызовов. Эти компоненты являются SIP сервера и SIP клиента. RFC 3319 определяет два DHCPv6 варианты конфигурации на SIP клиент для местных SIP сервер. Клиент будет использовать этот сервер для всех исходящих SIP запросы. Первый вариант (вариант код 21) содержит список доменов, и второй вариант (вариант код 22) из списка 128 - бит адреса. На серверы должны быть перечислены в порядке их предпочтения. Клиент должен выбрать первый сервер в списке; Если он не отвечает, клиент выбирает второй сервер в список. Клиент может запросить оба варианта. Затем он должен использовать список доменов первого и использовать адреса список только если это удалось.

RFC 3633 ", IPv6 префикс обозревателя"

Это RFC определяет параметры, которые можно передавать префикс информации из передачи маршрутизатора или DHCPv6 сервер запрашивающего маршрутизатора, который DHCPv6 клиенту функциональности. Это полезно в условиях, когда делегирования маршрутизатор не имеет информации о топологии сети подключен к маршрутизатору с просьбой. А делегирование маршрутизатора или DHCPv6 сервера в сети ISP использует этот параметр для настройки маршрутизатора в сети заказчика для его префикс. В делегирования маршрутизатора, например, может уступить / 48 префикс к границе маршрутизатора в сети заказчика. Пограничный маршрутизатор можно подразделить / 48 префиксом в / 64 подсетей и реклама этих приставок с Маршрутизаторы Реклама. Префикс делегация DHCP (DHCP - PD) не зависит от DHCP адрес назначения, но эти два могут быть объединены.

RFC 3646, "DNS Параметры настройки"

RFC 3646 определяет два DHCPv6 вариантов для клиента конфигурации DNS сервера имен (вариант код 23), а домен - поиск списков (опция код 24).

RFC 3898 ", Сеть Информационная служба (ННГ) Параметры настройки"

Это RFC определяет четыре варианта сети Информационная служба (ННГ), связанных информацию о конфигурации: ННГ Серверы (вариант типа 27), NIS + серверы (вариант типа 28), ННГ клиентов доменных имен (вариант типа 29) и NIS + клиентов доменное имя ( вариант типа 30). Они могут использоваться только для конфигурации шекелей услуг, что может быть достигнуто за IPv6. Оба варианта для ННГ и NIS + серверы представить список адресов IPv6 для соответствующих серверов. Эти списки сортируются в зависимости от их предпочтений.

RFC 4014 ", DHCPv6 Relay агент RADIUS атрибуты Вариант"

Эта опция позволяет системе сетевого доступа (NAS), которая также служит DHCPv6 реле агента, пройти вдоль атрибуты для пользователя устройство (полученные в ходе аутентификации RADIUS) с DHCP сервера. В NAS, используя RADIUS в качестве удостоверения полномочий, будут получать из атрибутов RADIUS сервера, которые могут быть использованы в DHCP сервера при выборе конфигурации параметров, которые будут доставлены на устройство запрашивает доступ.

RFC 4075, "Simple Network Time Protocol (SNTP) Конфигурация Вариант для DHCPv6"

В Simple Network Time Protocol серверов вариант приведен список из одного или нескольких адресов IPv6 в SNTP серверов, имеющихся в распоряжении клиента для синхронизации. Клиенты используют эти SNTP серверов для синхронизации их системное время, что и стандартных серверов времени.

Это состояние на момент написания, но активное развитие осуществляется. Если вы хотите получить до скорости с последними статуса во время вашего чтения, обратитесь к DHCP рабочей группы на http://www.ietf.org/html.charters/dhc-charter.html. Там вы найдете также все проекты, которые продолжаются.

Эстафета AgentServer Формат сообщений

Эстафета агентов ожидает клиента и сервера сообщений, если двое не на той же ссылке. А DHCP могут быть переданы более чем Relay агент одного или более сервера (ов). Ответ сервера должна следовать тем же путем обратно с помощью которых подлинные запрос, и он должен быть направлен на тот же Relay агенты.

Relay Relay и переводит сообщения Ответить иметь такой же формат и определены значения в поле Тип сообщения. Тип 12 является Relay Переслать сообщение, типа 13 один Relay Ответить сообщения.

В Hop графа поле в Relay Переслать сообщение показывает, сколько Реле уже направил это послание. Каждая пересылка Relay повышает ценность одной. В Relay может быть предварительно с Hop графа Ограничить ограничить число Реле что ожидает сообщения. Когда Relay получает сообщение, в котором Hop граф достиг стоимости в настройках Hop графа Предел, он отбрасывает сообщение. По умолчанию для Hop графа Ограничить это 32. В Relay Ответить сообщение, граф Hop области стоимость берется из Hop графа области в соответствующем Relay Переслать сообщение.

Ссылка Поле адреса содержит глобальных IPv6 адреса. Исходя из этой области в Relay Переслать сообщение, сервер может указать ссылку, где сидит клиент с просьбой. В RFC также упоминаются сайты местных адрес в качестве возможной стоимости этой области, поскольку DHCPv6 RFC был опубликован перед сайты местных адрес был запрещен. В Relay Ответить послание, значение в этой области взято из соответствующей Relay Переслать сообщение.

Экспертный Адрес поле содержит адрес клиента или Relay, из которого сообщение было получено. Это поле копируется из Relay Переслать сообщение в соответствующие поля в Relay Ответить сообщения.

Переменная Размер Параметры области содержит Relay Сообщение вариант (вариант типа 9). В Relay Переслать сообщение, в нем содержится запрос клиента; В Relay Ответить письма, оно содержит ответ сервера. Это поле может содержать дополнительную информацию, которая может быть предварительно по Relay агентов и что они включить, когда пересылки сообщения.

DHCP Unique Identifier

Каждый клиент DHCP и сервер DHCP имеет уникальный идентификатор (DUID), что используется для идентификации друг друга. А сервер использует клиент DUID выбрать соответствующий клиента для отправки. В DUID должно быть уникальным во всех серверов и клиентов, и не следует менять после первоначальной уступки. RFC 3315 определяет три различных типа DUIDs. Дополнительные типы могут быть определены в будущем. А DUID содержит 2 - байт типа код затем переменной число байт, содержащий идентификатор. В указанных трех типов в настоящее время являются:

• Ссылка слоя адрес плюс время (DUID - LLT)

• Поставщик конкретных уникальный идентификатор на основе числа предприятий (DUID - EN)

• Ссылка слоя адрес (DUID - МР)

Identity Ассоциации

В Identity ассоциации (НМА) является объектом используется сервером и клиентом по выявлению и управлять группой адресов. Каждый НМА определяется соответствующей IAID и содержит индивидуальные конфигурации. Клиент имеет по крайней мере один IA на интерфейс, который должен быть настроен в DHCP сервера. Клиент использует ИА получить право конфигурация для интерфейса с сервера. Каждый IA должна быть связана только один интерфейс. Это клиент, который выбирает IAID, и он должен быть уникальным. Конфигурация информацию о IA содержит один или более адресов IPv6 плюс T1/T2 таймеры.

А DHCP сервер выбирает информацию о конфигурации для НМА по адресу распределение политика определяется администратором. Она выбирает конфигурации на основе следующих критериев:

• Связь с которым клиент соединяется

• В DUID этого клиента

• Другие информацию варианты от клиента

• Другая информация взята из вариантов, которые были добавлены Relay агентов

DHCP Сообщение

Есть различные процессы в сообщении DHCP. Существует клиент - сервер взаимодействия и пересылки сообщений более Relay агенты. Следующие разделы описывают эти процессы более детально. Многие процессы аналогичны DHCPv4, отличающиеся только в IPv6, связанных с адаптацией. Другие процессы newfor например, путь сообщения направляются свыше Relay агенты.

Клиент и сервер сообщение

А клиент использует многоадресной Запросить сообщения найти DHCP сервер. Если клиент желает связаться с конкретным DHCP сервер, он использует сервер DUID в Server Вариант идентификатора (опция типа 2). Все DHCP серверов будут получать это сообщение, но только сервера, установленных DUID будет ответ. В некоторых случаях клиент может использовать unicast адреса достичь сервера. Это возможно только, если сервер настроен направить Server Одноцелевой Вариант (вариант типа 12), с указанием, что unicast сообщение можно с указанием адреса, которые должны использоваться. В этом случае он должен учитывать, что эти unicast сообщения не будут переданы в течение Relay агентов, так любой конфигурации осуществляется на Relay агент не будет вставлена unicast DHCP сообщений.

Клиент получает один или несколько Рекламировать сообщения в ответ на ее Запросить сообщение. Если она получает больше чем один, оно применяет следующие критерии выбора DHCP сервер:

• Сообщение с самым высоким Server Предпочтение отдается стоимости.

• Если имеется несколько сообщений с равной Server Предпочтение стоимости, он выбирает одно, с предпочтительной конфигурации.

• Клиент может также выбрать сообщение с более низким Server Предпочтение стоимость, если он содержит более соответствующие параметры конфигурации.

Список серверов и их соответствующие предпочтения ценности хранятся на клиенте. Если он не получит ответы от предпочтительный DHCP сервера, он будет выбирать следующего в списке. Если клиент не получает ответа от DHCP сервера в течение определенного времени, он либо начинает новый Discovery, присылая из другого Запросить сообщение или заканчивается конфигурации и создает сообщение об ошибке.

В ответ на сообщение Рекламировать, клиент посылает запрос послание одного из DHCP серверов в том числе IA Вариант, его клиент DUID и Вариант Запрос вариант, в котором содержится желаемый DHCP вариантов. Сервер ответы Ответить с сообщение, содержащее указанный вариантов. Если сервер получил запрос направлен в Relay агент в Relay Переслать сообщение, он ответит с Relay Ответить направил послание за тот же Relay агентов, как входящий запрос сообщение. Сервер флаги адреса выдаются Ответить на сообщение выделены. Если клиент получает несколько Ответы, он выбирает наиболее подходящую, и использует эти адреса. Адреса, выделенные другим серверам через свои Рекламировать сообщения остаются выделено, но не используется. Они будут повторно использованы на DHCP сервер, когда их сроки уже истекли.

Клиент для выполнения повторяющихся Адрес обнаружения (DAD) для каждого адреса были выделены на DHCP сервер. Типичным DHCP сообщения, выполняемых клиентом, что делает Stateful адрес автоматическую выглядит следующим образом:

1. Запросить Клиент отправляет сообщение.

2. Сервер (ы) ответ Рекламировать сообщение.

3. Клиент отправляет сообщение запроса к одному серверу.

4. Ответы сервера сообщение Ответить с.

Это сообщение может быть сокращен только два сообщения с быстрым взять вариант. В этом случае, клиент посылает сообщение с Запросить быстрого взять вариант включены. Сервер ответы Ответить с сообщения, что также содержит быстрого взять вариант. Если клиент направлен один Запросить сообщение с быстрым взять вариант, то она будет игнорировать любые ответы, которые не содержат быстрым взять вариант. Если клиент не получает никакого Ответить включая Быстрое взять вариант, то она может принять входящий Рекламировать сообщения и продолжения обычной конфигурации процесса. Если сервер получает сообщение с Запросить быстрого совершения выбора и не настроен на использование нее ответы с очередной Рекламировать сообщение. Хотя верно то, что быстрого комитета предлагает более эффективный подход к решению задачи, используя лишь два сообщения, он должен быть тщательно выбран. В зависимости от конфигурации и числа DHCP сервера, это может привести к впустую адресного пространства или ситуации, когда несколько DHCPv6 серверы считают, что они каждый установленного адреса запрашивающим клиентам. Когда сервер DHCP выделяет адреса в ответ сообщение с быстрым взять вариант, он должен совершить адрес клиента.

А клиент использует запроса, обновления, Rebind, очереди, и снижение сообщения, которые необходимы для жизни своей серверной установленного адреса. Если клиент переключается ссылку или подсети (например, в беспроводной сети или после c утра из сна режим), он должен инициировать Подтвердить / Ответить обмена. Это происходит путем направления его ОУ и соответствующие адреса и параметры. Если клиент не получает ответа на свой Подтвердить сообщение, он должен продолжать использовать ранее выделенные адреса.

Для выпуска одного или нескольких своих адресов, клиент посылает очереди сообщение, в котором содержится IA и соответствующие адреса и параметры. Сервер ответы Ответить с. Если клиент не получает ответа, она посылает сообщение другому очереди. Это невозможно во всех casesfor Например, если клиент выключается. Если DHCP сервер не получил сообщение очередь, она будет использовать адреса, когда их сроки уже истекли.

Если клиент уведомления о том, что выделенные адрес уже используется (например, через DAD), она посылает Отклонить сообщение на сервер. Это сообщение содержит идентификатор транзакции, идентификатор клиента, идентификатор сервера, и адрес (адреса).

Если DHCP сервер получает unicast сообщение от клиента, к которому он не послал Одноцелевой варианту, ответы Ответить с сообщение о статусе кодекс "использование многоадресной" (вариант 13, код 5).

Обновить / Rebind

Если клиент хочет освежить в жизни своей силе и предпочитает адреса, он отправляет обновления (тип 5) сигнал, содержащий ИА Адрес вариант и адреса соответствующих этой НМА. Сервер определяет соответствующие сроки и посылает сообщение Ответить с клиентом. Проделав это, она может также добавлять новые адреса и удалять старые адреса, установив их жизни до 0.

Если сервер получает сообщение Пополнить для НМА, для которых оно не имеет вступление, то ответы с сообщение Ответить установления статуса код "не обязательный" (вариант 13, код 3). Если клиент хочет продлить выступление, что не подходит для его связи, сервер посылает сообщение Ответить создания жизни для адреса 0.

Сервер контроля интервалы, в которых клиент должен подтвердить свою адресов через Тимерс T1 и T2 предварительно и связанных друг НМА. Когда клиент достигает указанного времени в T1, она, чтобы начать процесс обновления. Когда клиент достигает указанного времени в T2, то это означает, что его Пополнить сообщения не отвечал. В этом случае он направляет Rebind сигнал всем DHCP серверам. В Rebind сообщение содержит ИА вариант с в настоящее время рассматривается и вариант Запрос вариант все желаемые параметры DHCP.

Когда сервер получает Rebind сообщение, и находит соответствующие НМА, то ответы Ответить с сообщения. Если адреса не действительны на связь больше, он устанавливает сроки с 0. Если клиент не получает ответа на Rebind сообщения, оно не может далее использовать адрес (адреса). В этом случае, он имеет два варианта:

• Перезагрузить адрес конфигурации послали один Запросить сообщение найти DHCP сервер.

• Если клиент другого действующего ОУ, она не может игнорировать истек НМА и использовать другие адреса.

Запрос информации

Если клиент уже имеет адреса, но хочет получить другие DHCP информации, он отправляет сообщение запроса информации. Это сообщение содержит Вариант Запрос возможность указать желаемые параметры DHCP. Если, например, клиент настроен на автоматическую статусе адрес и маршрутизатор настроен устанавливать O - флаг (другие Stateful конфигурации) в Маршрутизаторы реклама, это приводит к клиенту, чтобы отправить сообщение информационного запроса для получения дополнительной информации, такой как DNS, NTP, или SIP сервера. Информационное сообщение Запрос направляется также по желанию клиента в ответ на Перенастройка сообщение с сервера.

Перенастройка процесс

Сервер посылает сообщение Перенастройка для показа клиенту направить Пополнить или Запрос информации сообщение. Это полезно, когда сервер был обновлен с новыми или измененными информацию, чтобы убедиться, что новая информация будет добавлена в кратчайшие сроки. В Перенастройка сообщения, идентификатор транзакции установлен в 0 и содержит идентификатор варианта Server, включая сервер DUID и клиентов вариант, содержащий идентификатор клиента DUID. Кроме того, в вариант Вариант Запрос может быть направлен вдоль сообщить клиенту варианты, которые изменились или были добавлены. В Вариант Запрос вариант содержит ИА Адрес вариант (тип 5), если клиент требует перенастройки ее адрес. С Перенастройка сообщение вариант (тип 19), сервер указывает на то, что клиент направить Пополнить или Запрос информации сообщение.

Из-за опасности DoS нападения, использование механизмов безопасности является обязательным в Перенастройка сообщения, что означает, что сервер для использования протокола аутентификации. Сервер посылает сообщение Перенастройка на unicast IPv6 адрес каждого клиента. Если он не знает unicast адрес клиента, он отправляет сообщение в виде Relay Ответить на сообщение Relay агент. Хотя клиент в Перенастройка процесс, он не принимает дальнейших Перенастройка сообщений. Новый процесс может быть запущен только один раз первоначальный процесс был завершен.

Relay агент сообщение

Способ Relay агент передает сообщения DHCP с DHCPv6 совершенно отличается от того, каким образом это делается с DHCPv4. В следующем разделе описываются Relay агент коммуникации в деталях. А Relay агент часто называют ИС помощником в Cisco мира.

А Relay агент использует All_DHCP_Severs многоадресной адрес (FF05:: 1:3) возможность передавать сообщения DHCP серверов. Он может быть настроен на использование unicast адреса. В Relay агент принимает сообщение из клиента и строит Relay Переслать message.In ссылки Адрес области, в нем своих глобальных IPv6 адреса с префиксом в ссылке, на которой проживает клиент. С этой адрес, DHCP сервер определяет префикс для которых оно выделять адреса. В Hop счетчик устанавливается в 1. The Source address from the original address (i.e., the client IP address) is copied into the Peer Address field of the Relay Forward message. The original DHCP message is copied into the Relay Message Option field. The Relay Agent can now add other information that has been preconfigured by the administrator.

When a Relay Agent receives a Relay Forward message from another Relay Agent and the value of the Hop Count field reaches the preconfigured value for the Hop Count Limit, it ignores the message. With the Hop Count Limit, the number of Relay Agents that forward a DHCP message can be limited. If the Hop Count is smaller than the Hop Count Limit, the message is forwarded. It encapsulates the packet into another Relay Forward header, increases the Hop Count by one, and copies the Source address of the previous Relay Agent into the Peer Address field. The Link Address field is set to 0. The message received is copied into the Relay Message Option.

As already mentioned, the Relay Reply message has to be forwarded over the same Relay Agents as the Relay Forward message. With the process just described, each Relay Agent encapsulates the received message into a new Relay Forward header, which makes it possible for the DHCP server to track the way back. In the last Relay Message Option, the server finds the original request from the client. It replies to it and copies the answer into the Relay Message Option of a Relay Reply message. It encapsulates this reply into as many Relay Reply headers as the Relay Forward message has received. So the Relay Reply travels the same way back through the same Relay Agents. Each Relay Agent on the path decapsulates the exterior header and forwards the message to the next Relay Agent. The last Relay Agent on the path receives a Relay Reply message, which contains the server reply in the Relay Message Option field. It removes the Relay Reply header and forwards the server reply to the client.

The communication looks as follows:

1. Client C sends a DHCP Request (Packet 1, not shown above).

2. Relay Agent A forwards the client request in a Relay Forward message (type 12) to Relay Agent B (packet 2). It copies its address into the Link Address field. The client request is copied into the Relay Message Option.

3. Relay Agent B forwards the message to the DHCP server (packet 3). It sets the Link Address field to 0 and copies the address of Relay Agent A into the Peer Address field. Packet 2 received from Relay Agent A is copied into the Relay Message Option.

4. The DHCP server sends a Relay Reply (type 13) to Relay Agent B (packet 4). The Hop Count, Link Address, and Peer Address fields are copied from the Relay Forward message. The Relay Message Option contains the packet, which has to be sent from Relay Agent B to Relay Agent A (packet 5).

5. Relay Agent B decapsulates packet 5 and forwards it to Relay Agent A.

6. Relay Agent A takes the server reply from the Relay Message Option and forwards it to Client C.

Security Considerations

Attacks based on DHCP functionality are possible in the IPv4 world as well as in the IPv6 world. The points of attack to be watched are the same:

• External, unknown DHCP servers allocating false addresses to DHCP clients

• Faulty or malicious DHCP servers in the intranet that assign false addresses or other false configuration information to DHCP clients

• Unknown, external clients that attach to the corporate network and receive internal addresses

• Intentional exhaustion of IP addresses by malicious clients, resulting in valid clients being unable to obtain a valid IP address and/or configuration options

• Malicious client(s) transmitting such high volumes of requests that a DHCP server is unable to respond to valid requests

To protect your network from external DHCP servers from outside the corporate network, a firewall closing the ports for DHCP is a good protection. It is important to protect your network from internal DHCP servers. It doesn't even need to be a malicious attack. Very often the problems come from improperly configured test servers. A client can be attacked by a malicious DHCP server configuring it with false information. For instance, a bad DNS or NTP server can be configured, or it can be configured in a way that it cannot communicate in the local network anymore. To protect from such attacks, Authentication should be used.

With DHCPv4, the ways to protect from such attacks are limited. Firewalls only protect from outside attacks. The possibility to use Authentication for DHCP communication exists only in the form of vendor solutions in addition to DHCPv4.

The specification for DHCPv6 includes an Authentication mechanism, which is based on Authentication for DHCPv4 (RFC 3118). New hosts must be authorized and authenticated before they receive configuration information from a DHCP server, the sender of a message must be authenticated, and the content of the message must be protected.

Security for messages between Relay Agents and DHCP servers

For a secure exchange of messages between Relay Agents and DHCP servers, IPsec (in transport mode with ESP) is used. Between each Relay Agent and its communication peers, an independent two-way trust relationship has to be established. If the content of the message is not considered confidential, encryption is not required (null encryption). As the Relay Agents and the DHCP servers are within the corporate network, private keys can be used.

In addition to this, DHCP servers and Relay Agents are configured with the addresses of trusted communication peers. It is therefore not possible for an unknown DHCP server or Relay Agent to intrude into the communication.

DHCP Authentication

The authentication of DHCP messages can be accomplished through the use of the Authentication option (option 11). The authentication information carried in the Authentication option can be used to reliably identify the source of a DHCP message and to confirm that the contents of the DHCP message have not been changed. Multiple authentication protocols can be used with the Authentication option. Two such protocols are specified in RFC 3315: the Delayed Authentication Protocol and the Reconfigure Key Authentication Protocol. Additional protocols may be specified in the future with separate RFCs.

Dynamic Updates to DNS

With the widespread use of DHCP and autoconfiguration for dynamic IP address configuration, the need for a dynamic update of DNS for addition and deletion of records arose. RFC 2136 introduced the mechanism called Dynamic DNS (DDNS). It is supported by BIND Versions 8 and 9 and many popular DNS implementations. The update functionality is usually used by applications such as DHCP, but it can be implemented on hosts as well. With IPv6, dynamic addresses are often assigned using Stateless autoconfiguration, which means there may not be a DHCP server in the network. A DNS update mechanism is necessary on each host to update its DNS records. There are important security aspects to consider when DDNS updates are made. It is important that you can control which nodes are authorized to make changes to your DNS records. Update policies must be implemented and Transaction Signatures (TSIG; see RFC 2845) or Domain Name System Security Extensions (DNSSEC; see RFCs 3007, 4033, 4034, and 4035) mechanisms should be used. RFC 4339, "IPv6 Host Configuration of DNS Server Information Approaches," discusses some of these general DNS aspects for IPv6 hosts.

Stateless DHCP

In environments where Stateless autoconfiguration is used for IP address information, there was no way to configure additional information on the client, such as DNS information or other options. Several solutions were discussed, one being to add such options to the Router Advertisement. Finally, RFC 3736 specified a new service called Stateless DHCP Service for IPv6. A Stateless DHCP server has an implementation of only a subset of the DHCPv6 specification. Its use requires that hosts are already configured for an IPv6 address. A Stateless DHCP server replies to Information Request messages (message type 11) that contain an Option Request option (option type 6) with a Reply message (message type 7). The Stateless DHCP server can also act as a relay agent. This allows configuration of a part of the clients on a link using Stateless address autoconfiguration while getting additional information from the Stateless DHCP server. Meanwhile, other clients use Stateful address autoconfiguration, and their DHCP messages are forwarded by the Stateless DHCP server acting as a relay agent.