2023.05.24的”VRRP、PBR”部分因为OSPF那一天通宵调py程序耽误了一天发送,而个人公众号一天只能发送一篇文章,不想因为一次问题耽误了整体的发布安排。所以数通高级的第三部分VRRP、PBR以发布方式发出,正常情况下是看不到该文章的,所以把链接放在这里,同时这些文章也放到了#设备复习合集里有需要的朋友可以自行查看
今天是数通高级的第四部分,IPv6和DHCP。之后二层部分STP、MSTP、交换机高级特性会根据内容量安排分一天还是两天总结完毕。
IPv6
lPv6概述
IPv4的缺点
公网地址枯竭
包头设计不合理
路由表过大,查表效率低
对ARP的依赖,导致广播泛滥
IPv6的优点
“无限”地址——地址长度为128 bit
地址层次化分配——IPv6地址的分配更加规范,利于路由聚合、路由快速查询。
即插即用——IPv6支持无状态地址自动配置(SLAAC)
简化的报文头部——简化报文头,提高效率;通过扩展包头支持新应用,利于路由器等网络设备的转发处理,降低投资成本。
IPv6安全特性——IPsec、真实源地址认证等保证端到端安全。
保证端到端通信的完整性——避免NAT破坏端到端通信的完整性。
对移动性的支持——改进移动网络实时通信,整个移动网性能提升。
增强的QoS特性——额外定义了流标签字段兼职赚钱,可为应用程序或者终端所用,针对特殊的服务和数据流,分配特定的资源。
IPv6基本包头
IPv6包头由一个IPv6基本包头(必须存在)和多个扩展包头(可能不存在)组成。
基本包头提供报文转发的基本信息,会被转发路径上的所有设备解析。
IPv6拓展包头
IPv6报文处理机制
IPv6地址
IPv6地址的长度为128 bit。一般用冒号分割为8段,每一段16 bit,每一段内用十六进制表示。
与IPv4地址类似,IPv6也用“IPv6地址/掩码长度”的方式来表示IPv6地址。
例:
lPv6地址:
2001:0DB8:2345:CD30:1230:4567:89AB:CDEF
子网号:
2001:0DB8:2345:CD30::/64
IPv6地址缩写规范
IPv6地址分类
根据IPv6地址前缀,可将IPv6地址分为为单播地址、组播地址和任播地址(IPv6没有定义广播地址)。
单播地址
单播地址结构
一个IPv6单播地址可以分为如下两部分:
网络前缀(Network Prefix):n bit,相当于IPv4地址中的网络ID。
接口标识(Interface ldentify):(128-n) bit,相当于IPv4地址中的主机ID。
常见的IPv6单播地址如全球单播地址、链路本地地址等,要求网络前缀和接口标识必须为64 bit。
单播地址接口标识
接口标识可通过三种方法生成:
· 手工配置
· 系统自动生成
· 通过IEEE EUI-64规范生成
其中EUI-64规范最为常用,此规范将接口的MAC地址转换为IPv6接口标识。
常见单播地址–GUA
GUA (Global Unicast Address,全球单播地址),也被称为可聚合全球单播地址。该类地址全球唯一,用于需要有互联网访问需求的主机,相当于IPv4的公网地址。
· 通常GUA的网络部分长度为64 bit,接口标识也为64 bit 。
· 全局路由前缀:由提供商指定给一个组织机构,一般至少为45 bit 。
· 子网ID:组织机构根据自身网络需求划分子网。
· 接口标识:用来标识一个设备(的接口)。
常见单播地址–ULA
ULA (Unique Local Address,唯一本地地址)是IPv6私网地址,只能够在内网中使用。该地址空间在IPv6公网中不可被路由,因此不能直接访问公网。
唯一本地地址使用FCO0::/7地址块,目前仅使用了FD00::/8地址段。FCO0::/8预留为以后拓展用。ULA虽然只在有限范围内有效,但也具有全球唯一的前缀(虽然随机方式产生,但是冲突概率很低)。
常见单播地址–LLA
LLA (Link-Local Address,链路本地地址)是IPv6中另一种应用范围受限制的地址类型。LLA的有效范围是本地链路,前缀为FE80:/10。
LLA用于一条单一链路层面的通信,例如IPv6地址无状态自动配置、IPv6邻居发现等。
源或目的IPv6地址为链路本地地址的数据包将不会被转发到始发的链路之外,换句话说,链路本地地址的有效范围为本地链路。
每一个IPv6接口都必须具备一个链路本地地址。华为设备支持自动生成和手工指定两种配置方式。
组播地址
IPv6组播地址标识多个接口,一般用于“一对多”的通信场景。IPv6组播地址只可以作为IPv6报文的目的地址。
Flags:用来表示永久或临时组播组。
Scope:表示组播组的范围。
Group ID:组播组ID。
被请求节点组播地址
当一个节点具有了单播或任播地址,就会对应生成一个被请求节点组播地址,并且加入这个组播组。该地址主要用于邻居发现机制和地址重复检测功能。被请求节点组播地址的有效范围为本地链路范围。
任播地址
任播地址标识一组网络接口(通常属于不同的节点)。任播地址可以作为IPv6报文的源地址,也可以作为目的地址。
lPv6地址配置
主机和路由器IPv6地址
单播地址业务流程
一个接口在发送IPv6报文之前要经历地址配置、DAD、地址解析这三个阶段,NDP(Neighbor DiscoveryProtocol,邻居发现协议)扮演了重要角色。
NDP
NDP使用ICMPv6报文实现其功能。
IPv6动态地址配置
DAD
无论通过何种方式配置了IPv6单播地址,主机或路由器都会:
· 通过ICMPv6报文进行DAD
· 仅当DAD通过之后才会使用该单播地址
地址解析
IPv6使用ICMPv6的NS和NA报文来取代ARP在IPv4中的地址解析功能。
DHCP原理与配置
DHCP(动态主机配置协议)
随着网络规模的不断扩大,网络复杂度不断提升,网络中的终端设备例如主机、手机、平板等,位置经常变化。终端设备访问网络时需要配置IP地址、网关地址、DNS服务器地址等。采用手工方式为终端配置这些参数非常低效且不够灵活。
DHCP实现了网络参数配置的自动化,降低客户端的配置和维护成本。
DHCP产生背景
手工配置网络参数存在以下问题:
1、灵活性差
2、容易出错
3、IP地址资源利用率低
4、工作量大
5、人员素质要求高
DHCP基本概念
DHCP是一种用于集中对用户IP地址进行动态管理和配置的协议。
DHCP采用C/S(Client/Server,客户端/服务器)通信模式,协议报文基于UDP的方式进行交互,采用67(DHCP服务器)和68(DHCP客户端)两个端口号:
1、正常工作时由客户端向服务器提出配置申请。
2、服务器返回为客户端分配的IP地址等相应的配置信息.。
DHCP优点:效率高、灵活性强、易于管理
DHCP工作原理与配置
DHCP首次接入工作原理
1.发现阶段,即DHCP客户端发现DHCP服务器的阶段。
DHCP客户端发送DHCP DISCOVER报文来发现DHCP服务器。DHCP DISCOVER报文中携带了客户端的MAC地址、需要请求的参数列表选项、广播标志位等信息。
2.提供阶段,即DHCP服务器提供网络配置信息的阶段。
服务器接收到DHCP DISCOVER报文后,选择跟接收DHCP DISCOVER报文接口的IP地址处于同一网段的地址池,并且从中选择一个可用的IP地址,然后通过DHCP OFFER报文发送给DHCP客户端○
3.选择阶段,即DHCP客户端选择IP地址的阶段。
如果有多个DHCP服务器向DHCP客户端回应DHCP OFFER报文,则DHCP客户端一般只接收第一个收到的DHCP OFFER报文,然后以广播方式发送DHCP REQUEST报文,该报文中包含客户端想选择的DHCP服务器标识符和客户端IP地址。
4.确认阶段,即DHCP服务器确认所分配IP地址的阶段。
DHCP客户端收到DHCP ACK报文,会广播发送免费ARP报文,探测本网段是否有其他终端使用服务器分配的的IP地址。
DHCP报文格式
重要字段说明:
op (op code):表示报文的类型,取值为1或2,含义如下:
1:客户端请求报文。
2:服务器响应报文。
secs (seconds):由客户端填充,表示从客户端开始获得IP地址或IP地址续借后所使用了的秒数,缺省值为3600s。
Flags:客户端请求服务器发送响应报文的形式公网ip地址查询,只有最高位有意义,其余15位置0。最高位为0时请求发送单播响应,最高位为1时请求发送广播响应。
Yiaddr (your client ip address):表示服务器分配给客户端的IP地址。当服务器进行DHCP响应时,将分配给客户端的IP地址填入此字段。
Siaddr (server ip address):DHCP服务器的IP地址。
Chaddr (client hardware address):客户端的MAC地址。
Options:DHCP通过此字段包含了服务器分配给终端的配置信息。
Options预定义选项字段
DHCP报文中Options字段为可变长度字段,最多为312Byte,此字段包含了DHCP报文类型,服务器分配给终端的配置信息,如网关IP地址,DNS服务器的IP地址,客户端可以使用IP地址的有效租期等信息。
Options字段由Type、Length和Value三部分组成。其中Type字段取值范围1~255。
常见Options
除了标准协议中规定的字段选项外,还有部分选项内容没有统一规定,统称为用户自定义选项,例如Option 82和Option 43。
Option 82称为中继代理信息选项
Option 82中可以包含最多255个Sub-Option,若定义了Option 82,至少要定义一个sub-Option。DHCP中继或DHCP Snooping设备接收到DHCP客户端发送给DHCP服务器的请求报文后,在该报文中添加Option 82,并转发给DHCP服务器。管理员可以从Option 82中获得DHCP客户端的信息,例如DHCP客户端所连接交换机端口的VLAN ID、二层端口号、中继设备的MAC地址等。
Option 43称为厂商特定信息选项
DHCP服务器和DHCP客户端通过Option 43交换厂商特定的信息。当DHCP服务器接收到请求Option 43信息的DHCP请求报文(Option 55中带有Option 43参数)后,将在回复报文中携带Option 43,为DHCP客户端分配厂商指定的信息。在WLAN组网中,AP作为DHCP客户端,DHCP服务器可以为AP指定AC的IP地址,以方便AP与AC建立连接。
DHCP消息类型
DHCP报文通过Options选项中的Type=53来表示DHCP的报文类型。当Type=53,Length=1,Value取值从01到08分别表示不同的DHCP报文类型。
DHCP地址续租
DHCP客户端根据IP地址的剩余租期的不同而产生不同形式的续租请求。
· 当租期达到50%(T1)时,DHCP客户端会自动以单播的方式向DHCP服务器发送DHCP REQUEST报文,请求更新IP地址租期。如果收到DHCP服务器回应的DHCP ACK报文,则租期更新成功。
· 当租期达到87.5%(T2)时,如果仍未收到DHCP服务器的应答,DHCP客户端会自动以广播的方式向DHCP服务器发送DHCP REQUEST报文公网ip地址查询,请求更新IP地址租期。如果收到DHCP服务器回应的DHCP ACK报文,则租期更新成功。
· 如果租期时间到时都没有收到服务器的回应,客户端停止使用此IP地址,重新发送DHCP DISCOVER报文请求新的IP地址。
DHCP重用地址
DHCP客户端非首次接入网络时,可以重用曾经使用过的地址。
1.选择阶段
客户端广播发送包含前一次分配的IP地址的DHCP REQUEST报文,报文中的Option 50(请求的IP地址选项)字段填入曾经使用过的IP地址。
2.确认阶段
DHCP服务器收到DHCP REQUEST报文后,根据DHCP REQUEST报文中携带的MAC地址来查找有没有相应的租约记录。如果有则单播返回DHCP ACK报文,通知DHCP客户端可以继续使用这个IP地址,如果没有租约记录,则不响应。
DHCP分配IP地址顺序
DHCP服务器按照如下次序为客户端选择IP地址:
1、DHCP服务器的数据库中与客户端MAC地址静态绑定的IP地址。
2、客户端以前曾经使用过的IP地址,即客户端发送的请求报文中请求IP地址选项的地址。
3、在DHCP地址池中,顺序查找可供分配的空闲IP地址,最先找到的IP地址。
4、如果在DHCP地址池中未找到可供分配的空闲IP地址,则依次查询超过租期、发生冲突的IP地址,如果找到可用的IP地址,则进行分配,否则报告错误。
DHCP Relay工作原理与配置
随着网络规模的不断扩大,网络设备不断增多,企业内不同的用户可能分布在不同的网段,一台DHCP服务器在正常情况下无法满足多个网段的地址分配需求。如果还需要通过DHCP服务器分配IP地址,则需要跨网段发送DHCP报文。
DHCP Relay即DHCP中继,它是为解决DHCP服务器和DHCP客户端不在同一个广播域而提出的,提供了对DHCP广播报文的中继转发功能,能够把DHCP客户端的广播报文“透明地”传送到其它广播域的DHCP服务器上,同样也能够把DHCP服务器端的应答报文“透明地”传送到其它广播域的DHCP客户端。
DHCP Relay报文格式
DHCP Relay主要负责转发DHCP客户端与DHCP服务器之间的DHCP报文,所以DHCP Relay的报文格式只是把DHCP的报文部分字段做了相应的修改,报文格式没有发生变化。
Hops:表示当前的DHCP报文经过的DHCP中继的数目。该字段由客户端或服务器设置为0,每经过一个DHCP中继时,该字段加1。
Giaddr(gateway ip address):表示第一个DHCP中继的IP地址。当客户端发出DHCP请求时,第一个DHCP中继在将DHCP请求报文转发给DHCP服务器时,会把自己的IP地址填入此字段。
DHCP Relay工作原理
有中继时DHCP客户端首次接入网络的工作原理:
1.发现阶段:DHCP中继接收到DHCP客户端广播发送的DHCP DISCOVER报文后,通过路由转发将DHCP报文单播发送到DHCP服务器或下一跳中继。
2.提供阶段:DHCP服务器根据DHCP DISCOVER报文中的Giaddr字段选择地址池为客户端分配相关网络参数,DHCP中继收到DHCP OFFER报文后,以单播或广播方式发送给DHCP Client。
3.选择阶段:中继接收到来自客户端的DHCP REQUEST报文的处理过程同“发现阶段”。
4.确认阶段:中继接收到来自服务器的DHCP ACK报文的处理过程同“提供阶段”。
DHCP安全威胁
DHCP饿死攻击
攻击原理:攻击者持续大量地向DHCP Server申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配。
漏洞分析:DHCP Server向申请者分配IP地址时,无法区分正常的申请者与恶意的申请者。
仿冒DHCP Server攻击 / DHCP中间人攻击
攻击原理:攻击者仿冒DHCP Server,向客户端分配错误的IP地址及提供错误的网关地址等参数,导致客户端无法正常访问网络。
漏洞分析:DHCP客户端接收到来自DHCP Server的DHCP消息后,无法区分这些DHCP消息是来自仿冒的DHCP Server,还是来自合法的DHCP Server。
DHCP Snooping
DHCP Snooping部署在交换机上,其作用类似于在DHCP客户端与DHCP服务器端之间构筑了一道虚拟的防火墙。
防DHCP饿死攻击
防中间人/DHCP Server仿冒攻击
Snooping 联动 IPSG
2023.05.25打卡。
