DHCP 5

Télécharger au format ppt, pdf ou txt
Télécharger au format ppt, pdf ou txt
Vous êtes sur la page 1sur 92

DHCP

Dynamics Host Configuration Protocol


DHCP

• Définition du terme DHCP


DHCP signifie Dynamics Host Configuration Protocol. Il s'agit d'un
protocole qui permet à un ordinateur qui se connecte sur un réseau
d'obtenir dynamiquement (c'est-à-dire sans intervention particulière) sa
configuration (principalement, sa configuration réseau).
• Fonctionnement du protocole DHCP
Il faut dans un premier temps un serveur DHCP qui distribue des adresses
IP. Cette machine va servir de base pour toutes les requêtes DHCP, aussi
elle doit avoir une adresse IP fixe. Dans un réseau, on peut donc n'avoir
qu'une seule machine avec adresse IP fixe, le serveur DHCP.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 2
DHCP
• PC(DHCP Client) Switch Server 2003/Cisco Router (DHCP
Server)
• Le Pc envoie un message DHCPDISCOVER en Broadcast afin d'obtenir
une @ du DHCP Server.
• Question:
Comment le Serveur doit reconnaitre le Pc qui n'a pas une @ ip?
• Réponse:
Le Pc envoie dans sa trame son @ Mac source(@ de sa carte réseau) et l'@
Mac de destination( FF-FF-FF-FF-FF-FF).
Le Serveur répond au Pc par un message DHCPOffer en Unicast avec une @
ip.
Le Pc envoie au Serveur un message DHCPRequest/Reservation pour
confirmer l'utilisation de cette @ ip.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 3
DHCP

Le Serveur répond au Pc par un message DHCPACK(Accusé de Réception)


pour confirmer la requête du Pc.
Le Pc envoie un message DHCPDELINE au Serveur pour l'informer
d'une erreur comme une @ déjà attribuée à un autre Pc.

Le Serveur possède une table contenant les @ ip et @ Mac des Pc Client


qu'on appelle Binding Table.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 4
DHCP

• Le mécanisme de base de la communication est BOOTP (avec trame


UDP). Quand une machine est démarrée, elle n'a aucune information sur
sa configuration réseau, et surtout, l'utilisateur ne doit rien faire de
particulier pour trouver une adresse IP. Pour faire ça, la technique utilisée
est le Broadcast : pour trouver et dialoguer avec un serveur DHCP, la
machine va simplement émettre un paquet spécial de Broadcast
(Broadcast sur 255.255.255.255 avec d'autres informations comme le
type de requête, les ports de connexion...) sur le réseau local. Lorsque le
serveur DHCP recevra le paquet de Broadcast, il renverra un autre paquet
de Broadcast (n'oubliez pas que le client n'a pas forcement son adresse IP
et que donc il n'est pas joignable directement) contenant toutes les
informations requises pour le client.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 5
DHCP

On pourrait croire qu'un seul paquet peut suffire à la bonne marche du


protocole. En fait, il existe plusieurs types de paquets DHCP susceptibles
d'être émis soit par le client pour le ou les serveurs, soit par le serveur
vers un client :DHCPDISCOVER (pour localiser les serveurs DHCP
disponibles)
• DHCPOFFER (réponse du serveur à un paquet DHCPDISCOVER, qui
contient les premiers paramètres)
• DHCPREQUEST (requête diverse du client pour par exemple prolonger
son Bail)

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 6
DHCP
•DHCPACK (réponse du serveur qui contient des paramètres et l'adresse IP
du client)

•DHCPNAK (réponse du serveur pour signaler au client que son bail est
échu ou si le client annonce une mauvaise configuration réseau)

DHCPDELINE (le client annonce au serveur que l'adresse est déjà utilisée)

•DHCPRELEASE (le client libère son adresse IP)

•DHCPINFORM (le client demande des paramètres locaux, il a déjà son


adresse IP)

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 7
DHCP

• Le premier paquet émis par le client est un paquet de type


DHCPDISCOVER. Le serveur répond par un paquet DHCPOFFER, en
particulier pour soumettre une adresse IP au client. Le client établit sa
configuration, puis fait un DHCPREQUEST pour valider son adresse IP
(requête en Broadcast car DHCPOFFER ne contient par son adresse IP).
Le serveur répond simplement par un DHCPACK avec l'adresse IP pour
confirmation de l'attribution. Normalement, c'est suffisant pour qu'un
client obtienne une configuration réseau efficace, mais cela peut être plus
ou moins long selon que le client accepte ou non l'adresse IP...

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 8
DHCP
• Les Baux
Pour des raisons d'optimisation des ressources réseau, les adresses IP sont
délivrées avec une date de début et une date de fin de validité. C'est ce
qu'on appelle un « Bail". Un client qui voit son Bail arriver à terme peut
demander au serveur une prolongation du Bail par un DHCPREQUEST.
De même, lorsque le serveur verra un Bail arriver à terme, il émettra un
paquet DHCPNAK pour demander au client s'il veut prolonger son Bail.
Si le serveur ne reçoit pas de réponse valide, il rend disponible l'adresse
IP.
C'est toute la subtilité du DHCP : on peut optimiser l'attribution des
adresses IP en jouant sur la durée des Baux. Le problème est là : si
aucune adresse n'est libérée au bout d'un certain temps, plus aucune
requête DHCP ne pourra être satisfaite, faute d'adresses à distribuer.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 9
DHCP
•Exemple 1:

.100

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 10
DHCP
•Exemple 2:

Carte de Bouclage

Exclure des @ ip prise par des Serveurs ou des Imprimantes

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 11
DHCP

•Remarque:
Le routeur peut avoir plusieurs pool correspondant aux différant interfaces.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 12
DHCP
Capture
Capture Wireshark
Wireshark

•Paramètres de la carte de bouclage:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 13
DHCP
• Remarque 1:
A partir de 50% de Lease Time(Lease Time pour un routeur est de:1Jour), le
Pc renouvèle son contrat avec le DHCP Server (Unicast) en utilisant deux
messages: DHCP Request et DHCP ACK. Pour cela:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 14
DHCP
• Remarque 2:
Si le DHCP Server est hors service, le Pc attend 87% de Lease Time et
commence a faire Broadcaste dans le réseau en cherchant une @ ip .
• Remarque 3:
Le Lease Time dans un espace public est au alentour de Six heurs.
Le Lease Time dans un espace privé est au alentour de: Un jour
• Remarque 4:
On peut configurer jusqu'à Huit serveur DNS sur un routeur Cisco.
• Remarque 5:
Si le Pc veut décliner l’@ IP attribuée:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 15
DHCP
• Exemple 2:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 16
DHCP
• Configuration:
Il faut attribuer une @ ip statique au serveur DHCP.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 17
DHCP
• Remarque:
Le serveur DHCP envoie deux ping de suite sur une @ ip avant de l'attribuer à une
machine pour s'assurer qu'elle n'est pas prise par une autre machine.
Time-Out du ping: Est le temps écoulé pour assurer une @ ip au client (500ms) : .On
peut changer ce temps par:

• Optionnel:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 18
DHCP
• Capture de la carte de bouclage:

@
@ ip
ip par
par DHCP
DHCP
Lease
Lease Time
Time

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 19
DHCP
• Affectation d’une @ ip DHCP pour Client:

• Réponse:
Interface FastEthernet0/0 assigned DHCP address
10.10.10.4, mask 255.255.255.0, hostname Client

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 20
DHCP
• On peut renouveler le bail de la carte de bouclage par:

• Vérification:

• On remarque qu’il s'agit de deux messages Unicast:Request et ACK.


• Vérification des @ ip attribuer par DHCP Server:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 21
DHCP

• Exemple Agent-Relais :

• La plupart des entreprises centralisent leurs différents réseaux aux


niveaux d’un serveur DHCP (Agent-Relais) qui distribue des @ ip aux
clients.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 22
DHCP
• Configuration:
• Serveur DHCP:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 23
DHCP
Il existe deux solutions pour que le Serveur DHCP atteint le Client:
• Première Solution:

• Deuxième Solution:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 24
DHCP
• Router:

• Agent-Relais :

• @ ip du Client:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 25
DHCP
• Remarque:
Dans les grandes entreprises, le routeur (Router) doit fournir plus
d’informations au DHCP Server (Des protocoles comme
TACACS,NTP…) à travers ip helper-address avec la commande:

• Voici quelques exemples:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 26
DHCP
• Configuration DHCP sur un routeur Cisco
Le protocole DHCP a pour fonctionnalité de fournir aux machines qui le
demandent une configuration IP complète, adresse IPv4, masque de sous-
réseau, passerelle par défaut, serveur DNS…
• Topologie de la configuration

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 27
DHCP
• Configuration :
Apres activation des interfaces:
• ISP:

• Sur R1:

• Sur DHCP:

• Attention, la route par défaut sur DHCP est nécessaire pour la suite de la
configuration

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 28
DHCP
• Piqûre de rappel
Le Protocol DHCP est véhiculé directement dans une trame. De plus la
machine qui émet une requête DHCP, n’ayant encore aucune identité
(adresse IPv4 etc.) n’a d’autre possibilité que de communiquer par
broadcast. Cela signifie donc que la requête DHCP émise par cette
machine est une trame broadcast.
Cela peut paraître sans importance, mais il ne faut pas oublier qu’un
broadcast est confiné dans son domaine de diffusion, autrement dit, il ne
dépasse pas un routeur. Hors, ici, entre le serveur DHCP et le LAN1 il y a
R1… un routeur!
Nous devrons donc par la suite s’assurer que R1 soit configuré pour relayer
la requête DHCP à destination du serveur DHCP.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 29
DHCP

• Méthode de configuration
Afin que DHCP puisse distribuer des adresses à la fois dans le LAN1 et
dans le LAN2 nous allons devoir configurer les points suivants:
Exclure les adresses qu’on souhait ne pas distribuer (celle de la passerelle,
ou de machines ayant des adresses fixes)
Pour chaque LAN configurer un pool DHCP dans lequel on spécifiera les
options (passerelle, serveur DNS, adresse réseau, …)
Configurer le relai DHCP pour le LAN1, sur R1.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 30
DHCP
• Configuration
La bonne pratique veut que l’on configure le serveur DHCP dans un ordre
qui peut paraître illogique au premier abord. Ce qu’il faut savoir, c’est
qu’une fois le pool DHCP configuré, le routeur va commencer à attribuer
des adresses. Il est donc conseillé de configurer en premiers les options
(adresses à exclure paramètres du pool… le tout avant de définir la plage
d’adresse à prendre en charge), sans quoi il se pourrait que les premières
configurations reçues par les machines soient incomplètes.
• Commençons par le routeur DHCP…
Exclusion des adresses nécessaires (adresse des passerelles, du serveur
DHCP, …) ici nous allons exclure les dix premières de chaque LAN
(choix arbitraire).

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 31
DHCP
• Attention dans la définition des adresses à exclure, la première adresse
donne le début de la plage et la deuxième la fin de la plage à exclure. Si
vous ne souhaitez qu’exclure une adresse, il suffit de ne pas donner
d’adresse de fin.
• Configurons maintenant le pool DHCP pour la LAN1…

• On a donc créé ici un pool DHCP nommé LAN1, dans lesquelles les
machines recevront comme passerelle par défaut 192.168.0.1 (l’adresse
de R1 dans le LAN1), un serveur DNS 8.8.8.8 (totalement fictif ici, mais
il me semblait indispensable de montrer comment le configurer
précédemment exclues).
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 32
DHCP
• Faisons de même pour le LAN2…

• A présent les machines du LAN2 doivent recevoir leur configuration


correctement étant donné que le serveur DHCP est dans le même
domaine de diffusion qu’elles.
• Le serveur DHCP devrait également avoir gardé ce bail DHCP en
mémoire…

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 33
DHCP
• Par contre … impossible pour Pc1 de recevoir sa configuration …
• En effet, lorsque R1 reçoit la trame de Broadcast contenant la requête
DHCP de Pc1, vu qu’il ne sait rien en faire, il la « jette » purement et
simplement.
• Il nous faut configurer le relai des trames DHCP vers le serveur DHCP.
Pour cela nous devons dire explicitement à R1 de relayer ces trames à
192.168.1.10 (le serveur DHCP) lorsqu’elles entrent sur son interface
Fa0/1. Voici la manipulation:
• Notez que la commande « ip helper-address » a plus d’utilité que le
simple relai des requêtes DHCP. Elle sert à relayer les broadcast UDP de
plusieurs protocoles (DHCP, NTP, Netbios…).

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 34
DHCP
• A présent Pc1 peut aussi obtenir sa configuration par DHCP
• DHCP doit également avoir retenu les informations concernant ce bail
DHCP…

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 35
DHCP

• Quelques explications complémentaires…


Comment fait DHCP pour savoir dans quel pool d’adresse il doit piocher en
réponse à une requête venant du LAN1 ou du LAN2 ?
Dans le cas du LAN2, la requête arrive sous forme de broadcast, sur
l’interface Ethernet de DHCP, il lui suffit alors de fournir une
configuration pour une machine dans le même domaine de diffusion que
lui, donc le pool LAN2.
Par contre dans le cas du LAN1, la requête arrive à DHCP sous forme
d’unicast, car elle est relayée par R1. R1 a en réalité, construit un paquet
unicast, avec comme adresse source celle de son interface dans le LAN1
et comme destination celle du serveur DHCP.
Dés lors quand DHCP reçoit la requête unicast, il propose une adresse
provenant du pool dont la plage d’adresse correspond à celle configurée
sur l’interface Fa0/1 de R1.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 36
DHCP

• Quelques paramètres en plus…


Bien entendu la configuration du DHCP ne se limite pas à une adresse, un masque,
une passerelle et un serveur DNS. Voici quelques autres paramètres
configurables…
• Configurer la durée du bail DHCP… Hacker

• Le format est « lease <jours> <heures> <minutes> ». On peut également défini


un bail illimité en utilisant « lease infinite ».

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 37
DHCP

• Par exemple, si on doit renseigner une adresse de serveur TFTP pour


qu’une machine puisse y récupérer une image de démarrage (c’est le cas
dans avec les systèmes de déploiement réseau), il faut indiquer l’option
150, avec comme paramètre l’adresse ip du serveur TFTP.

• Encore une vérification…


Nous avons vu précédemment la commande « show ip dhcp binding » qui
affiche la liste des baux en cours. Il est aussi possible d’afficher les pools
DHCP et leurs statistiques…

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 38
DHCPv6
• DHCP IPv6:
DHCPv6 est un protocole de configuration dynamique (Dynamic Host
Configuration Protocol) pour IPv6. Son équivalent en IPv4 est DHCP.
DHCPv6 est un mécanisme d‘attribution des adresses et de paramétrage de
la connexion au réseau qui fonctionne comme DHCP pour IPv4.
Il existe deux méthodes pour configurer le DHCP IPv6:
1- l'auto-configuration sans état (stateless auto-configuration) ; elle est
utilisée quand la gestion administrative des adresses attribuées n'est pas
nécessaire au sein d'un site.
2- l'auto-configuration avec état (stateful auto-configuration) ; elle est
retenue lorsqu'un site demande un contrôle strict de l'attribution des
adresses.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 39
DHCPv6
• Auto-configuration stateless (SLAAC)
• Construction automatique des adresses IP:
1. Ajouter les octets FFFE au milieu de l’adresse MAC de l’interface.
2. Positionner le septième bit de l’adresse MAC modifiée en partant de la
gauche à 1 si l’adresse est unique (ce qui est le cas pour toutes les
adresses MAC par défaut 5) sinon 0.
3. Récupération du préfixe si c’est une adresse globale, sinon utilisation du
préfixe d’adresse de lien local.
• Le préfixe global s’obtient en écoutant les diffusions ICMPv6 des Router
Advertisement sur le réseau.
• En général ce sont les routeurs qui se chargent de diffuser les préfixes
toutes les cinq minutes, mais une machine a la possibilité de réclamer
cette diffusion immédiatement en utilisant un message ICMPv6 de type
Router Solicitation à destination de l’adresse all-routers .
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 40
DHCPv6

• Durées de vie
Les messages Router Advertisement qui se chargent de fournir le préfixe à
utiliser précisent toujours une durée de vie conseillée (preferred lifetime)
et une durée de vie de validité (valid lifetime). Ce mécanisme remplace la
notion de bail mise en œuvre par le DHCP.
La plupart du temps, la durée de vie conseillée n’expirera pas grâce aux
annonces régulières des routeurs.
• Auto-configuration stateful (DHCPv6)
Cette méthode d’auto-configuration utilise un serveur DHCPv6, de façon
très similaire au protocole DHCPv4, moyennant un léger
reconditionnement des messages échangés et l’utilisation des adresses
anycast (RFC 3315).

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 41
DHCPv6
• Par exemple, pour recenser la liste des serveurs DHCP du réseau, le
client enverra un message de type SOLICIT (correspondant à l’ancien
DHCPDISCOVER) à l’adresse anycast du routeur du sous-réseau, qui
renverra un message de type ADVERTISE (anciennement
DHCPOFFER).
• Une nouveauté intéressante se situe du côté de la renumérotation des
réseaux, qui peut s’avérer nécessaire dans le cas d’un changement de
FAI, par exemple. Le serveur a la possibilité de diffuser en multicast un
message de type RECONFIGURE, qui incitera tous les clients à lui
envoyer une réponse de type RENEW (ou INFORMATION REQUEST,
selon la configuration du serveur) pour acquérir les informations à jour.
L’effet du changement est alors immédiat.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 42
DHCPv6
• Protocole:
SOLICIT (DHCPDISCOVER) : Permet au client de faire un appel général
sur son réseau pour localiser les serveurs DHCPv6. Le message est
envoyé en multicast à l’adresse ff02::1:2 (RFC 3315).
ADVERTISE (DHCPOFFER) : Réponse des serveurs DHCPv6 aux
SOLICIT, en unicast.
REQUEST (DHCPREQUEST) : Utilisé par le client pour demander les
paramètres de configuration au serveur DHCPv6 sélectionné.
CONFIRM : C’est une nouveauté, et elle permet au client de simplement
s’assurer auprès du serveur que son ou ses adresses sont toujours valides.
RENEW (DHCPREQUEST) : Permet au client de demander un
prolongement du bail, ou mettre à jour ses paramètres si ceux-ci ont
changés depuis.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 43
DHCPv6

REBIND (DHCPREQUEST) : Ce message a la même fonctionnalité que le


RENEW, mais il est utilisé pour interroger en multicast l’ensemble des
serveurs DHCPv6, lorsque le serveur DHCP d’origine ne répond plus.
RELEASE (DHCPRELEASE) : Envoyé par le client au serveur pour
indiquer à ce dernier la valeur des paramètres actuellement utilisés.
DECLINE (DHCPDECLINE) : Permet au client de signifier au serveur que
les paramètres transmis ne peuvent pas être utilisés.
REPLY (DHCPACK et DHCPNACK) : Il s’agit du message contenant la
réponse du serveur DHCP pour les deux types d’interrogations RENEW
et REBIND, ou pour confirmer la bonne réception des deux types de
messages précédents.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 44
DHCPv6

INFORMATION-REQUEST (DHCPINFORM) : Permet simplement au


client de demander de nouveaux paramètres de configuration.
RECONFIGURE (DHCPFORCERENEW) : Permet au serveur d’indiquer à
ses clients que les paramètres doivent être actualisés, et qu’il serait bon
qu’ils le sollicitent avec un message RENEW ou
INFORMATIONREQUEST.
RELAY-FORWARD : C’est une seconde nouveauté, et c’est utilisé par les
relais pour transmettre à un serveur (ou un autre relais) le message initial
du client, qui sera contenu dans les options.
RELAY-REPLY : Il s’agit du pendant du type précédent, permettant de
répondre à la question du client initial au travers d’un relais.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 45
DHCPv6

• Des drapeaux M (Managed-Flag) et O (Other-Configuration) sont à la


disposition de l’administrateur pour trouver des compromis entre l’auto-
configuration stateless et stateful (qu’on appellera DHCPv6 stateless, de
la RFC 3736) et peuvent être combinés comme indiqué dans le tableau .
O M SLAAC DHCPv6
0 0 Gère tout Désactivé
1 1 Désactivé Gère tout
1 0 Gère les IP Gère le reste dont les DNS
0 1 Gère le reste dont les DNS Gère les IP
• Le DHCPv6 utilise le protocole UDP et le port 546 pour le Client.
• Le DHCPv6 utilise le protocole UDP et le port 547 pour le Serveur.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 46
DHCPv6
• Configuration de DHCP sans état sur un routeur:

•Cette commande est requise pour envoyer des messages RA ICMPv6.

•Cette commande crée un pool et sélectionne le routeur en mode de


configuration DHCPv6

•Cette commande fournir l'adresse du serveur DNS et le nom de


domaine.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 47
DHCPv6

1-Mode Interface
2-Association du pool DHCPv6 à l'interface
3- Le routeur répond aux requêtes DHCPv6 sans état sur
cette interface avec les informations contenues dans le pool.
L'indicateur O doit être modifié pour passer de 0 à 1

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 48
DHCPv6
•Exemple de Serveur DHCPv6 sans état
Configuration de R1 en tant que Serveur DHCPv6 sans état

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 49
DHCPv6
• Configuration de R2 en tant que Client DHCPv6 sans état
• Dans cette exemple, le routeur R2 est utilisé en tant que Client DHCPv6
sans état. Ce scénario est utilisé ici à des fins de démonstration
uniquement. Généralement, un Client DHCPv6 sans état est un
périphérique tel qu'un ordinateur.

• Cette commande permet au routeur d’avoir une adresse de monodiffusion


globale.
• Cette commande active la configuration automatique de l'adressage IPv6
à l'aide de SLAAC.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 50
DHCPv6
 Vérification Serveur DHCPv6 sans état

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 51
DHCPv6
• Configuration de DHCP avec état sur un routeur:

• Remarque:
Dans le cas de DHCPv6 avec état, tous les paramètres d'adressage et de
configuration doivent être attribués par le serveur DHCPv6.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 52
DHCPv6

• Cette commande sert à indiquer le pool d'adresses à attribuer par le serveur.


L'option lifetime indique la durée de validité et la durée préférée des baux,
en secondes.

• Cette commande relie le pool DHCPv6 à l'interface.


• L'indicateur M doit être modifié pour passer de 0 à 1. Il indique au
périphérique de ne pas utiliser SLAAC, mais d'obtenir l'adressage IPv6 et
tous les paramètres de configuration auprès d'un serveur DHCPv6 avec
ITE PC v4.0
Chapter 1
état. © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 53
DHCPv6
 Exemple de Serveur DHCPv6 avec état:
• Configuration de R1 en tant que Serveur DHCPv6 avec état:

• Notez qu'aucune passerelle par défaut n'est spécifiée, car le routeur


envoie automatiquement sa propre adresse link-local comme passerelle
par défaut. Le routeur R3 est configuré en tant que client pour permettre
ITE PC v4.0
Chapter 1
de vérifier le fonctionnement de DHCPv6 avec état.
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 54
DHCPv6
• Configuration de R3 en tant que Client DHCPv6 avec état:

• Cette commande de mode de configuration d'interface ipv6 enable


permet au routeur de recevoir une adresse link-local afin d'envoyer des
messages RS et de participer à DHCPv6.
• Cette commande de mode de configuration d'interface permet au routeur
de se comporter comme un Client DHCPv6 sur cette interface.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 55
DHCPv6
• Vérification Serveur DHCPv6 avec état:

• La commande affiche la liaison automatique entre l'adresse link-local du


client et l'adresse attribuée par le serveur

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 56
DHCPv6

 Application:
• Appliquer DHCPv6 sans état et avec état sur cette topologie.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 57
DHCPv6
• Exemple 1:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 58
DHCPv6
1-Cas:Statelless

Dans
Dans ce
ce cas
cas le
le Client
Client obtient
obtient une
une adresse
adresse d'un
d'un routeur
routeur non
non DHCP
DHCP

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 59
DHCPv6

Vmware
Vmware

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 60
DHCPv6
2-Cas Statefull:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 61
DHCPv6

Vmware
Vmware

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 62
DHCPv6

•Exemple 2:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 63
DHCPv6

DAD:Duplicat Address Detection


Lorsqu’un Pc obtient une @ ip soit par l’@ mac ou aléatoirement, il envoie un message NS
(Neighbors Solicitation) au autres Pc du réseau son intérêt pour cette @ ip, s’il ne reçoit
aucune réponse, il envoie un message NA (Neighbor Advertisement) confirment sa
possession.
Sending NS for FE80::C002:4FF:FEEC:0 (Envoie de NS)
DAD: FE80::C002:4FF:FEEC:0 is unique.
Sending NA for FE80::C002:4FF:FEEC:0 (Envoie de NA)
Sending NS for 2001::1
DAD: 2001::1 is unique.
ND: Sending NA for 2001::1

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 64
DHCPv6
• Le Client obtient une @ ipv6 par trois méthodes:
• Méthode SLAAC (Sans Options):
• R1:

• Client:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 65
DHCPv6
•Win7:

Pas de Serveur DNS

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 66
DHCPv6
• Méthode Statelless:
Remplacer R1 par DHCP Server:

Le routeur doit fonctionner comme DHCP server et doit utiliser le pool cisco
pour distribuer les @ ip.

Le serveur DHCP doit distribuer le reste des options comme Dns-server etc.
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 67
DHCPv6
• Vérification des options:

•Win7:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 68
DHCPv6

• Méthode StateFull: Cette méthode n’existe que sur IOS 15.

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 69
DHCPv6
•Client:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 70
DHCPv6

•Win 7

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 71
DHCP
• Man in the middle attack

• On suppose que C3 soit un Hacker. C1 envoie un message


DHCPDISCOVER au Routeur en broadcast.
• C3 intercepte le message et répond à C1 par une adresse ip et une
passerelle(@ ip de C3).Donc tous le trafic en destination du Routeur doit
passer par la nouvelle passerelle (C3).
ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 72
DHCP
• Pour éviter que Pc3 fonctionne comme DHCP Server il faut s'assurer que
l'interface du Switch reliée au Routeur qui soit la seul et unique interface
qui répond au message DHCPRepply du DHCP Server.(Interface de
confiance).

• Aucun port du Switch ne pourra envoyé un DHCPRepply.


• L’interface f0/1 est l’interface de confiance qui peut envoyer un
DHCPRepply.
• DHCP Spooning bloque tous machine désirant envoyer un DHCPRepply
et bloquer Man in the middle attack

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 73
DHCP
• VLAN Security Attacks

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 74
DHCP
• DHCP Spoofing (Trahison)
Configuration :

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 75
DHCP
• Cas particuliers:
1er Cas:
Attribution d'adresse IP par DHCP en fonction du Vlan:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 76
DHCP
• Configuration:
Sw:
• Création des Vlan:

• Affectation des Ports:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 77
DHCP
• R1:
• Création des Sous-Interfaces et Encapsulation:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 78
DHCP
• Configuration DHCP:

Vlan 10: Vlan 20: Vlan 30:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 79
DHCP
1er Cas:
• Configuration d'un Serveur DHCP Agent Relais

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 80
DHCP
• Configuration:
• Serveur DHCP:
• Routage:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 81
DHCP
• Configuration Pool (cisco2) pour Agent Relais:

• Agent Relais:
• Routage:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 82
DHCP
• Configuration Agent Relais:

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 83
DHCP

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 84
DHCP

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 85
DHCP

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 86
DHCP

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 87
DHCP

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 88
DHCP

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 89
DHCP

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 90
DHCP

ITE PC v4.0
Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 91
Thank you.

Vous aimerez peut-être aussi