05.11_ICT보안실무_DHCP서버

<CE>

conf t

int fa 0/1

ip add 10.10.10.254 255.255.255.0

ip nat inside

no shut

!

int fa 0/0

ip add 192.168.104.210 255.255.255.0

ip nat outside

no shut

!

ip route 0.0.0.0 0.0.0.0 fa 0/0 192.168.104.1

access-list 10 permit 10.10.10.0 0.0.0.255

ip nat inside source list 10 int fa 0/0 overload

<R3>

conf t

int fa 0/0

ip add 10.10.10.3 255.255.255.0

no shut

!

ip route 0.0.0.0 0.0.0.0 fa 0/0 10.10.10.254

<DHCP_SERVER>

conf t

int fa 0/0

ip add 10.10.10.250 255.255.255.0

no shut

!

ip route 0.0.0.0 0.0.0.0 fa 0/0 10.10.10.254

================================================================

## DHCP(Dynamic Host Configuration Protocol) ##

- TCP/IP 프로토콜을 사용하는 장비들은 IP 주소, Subnet mask,

 Gateway 등의 정보가 할당되어야 통신이 가능하다.

- 관리자가 수동으로 많은 수의 host를 설정하는 것은 쉽지 않기

 때문에 DHCP 서비스를 사용하게 되면 동적으로 IP 할당이 가능하다.

- DHCP는 UDP 포트 67번(Server), 68번(Client)을 사용.

- DHCP 사용하는 주요 메시지는 다음과 같다.

[1. DHCP Discover]

=> Client가 DHCP 서버를 찾는 메시지. (So-Port: 68 / De-Port: 67)

=> Broadcast 전송 (So-IP: 0.0.0.0 / De-IP: 255.255.255.255)

[2. DHCP Offer]

=> DHCP 서버가 Client에게 IP 등의 정보를 제안하는 메시지.

  (So-Port: 67 / De-Port: 68)

=> Unicast 방식 혹은 Broadcast 방식으로 전송이 가능하다.

  일반적으로 Broadcast 방식을 사용하지만 Client와 Server의

  운영체제에 따라 Unicast 방식으로도 전송이 가능하다.

[3. DHCP Request]

=> DHCP 서버에게 제안 받은 정보를 공식적으로 요청하는 메시지.

  (So-Port: 68 / De-Port: 67)

=> Broadcast 방식으로 전송(So-IP: 0.0.0.0 / De-IP: 255.255.255.255)

=> Client는 DHCP Offer 메시지를 통해서 DHCP Server의 IP 주소를

  알게 되었지만 Requset를 Unicast가 아니라 Broadcast 방식으로

  전송한다. 이유는???

  이중화를 위해서 다수의 DHCP 서버가 존재하는 경우 선택받지

  못한 Server도 자신의 Offer 메시지가 선택받지 못했다는 사실을

  알아야하기 때문에 Broadcast 방식으로 전송한다.

[4. DHCP ACK]

=> DHCP 서버가 Client에게 IP 등의 정보를 최종적으로 할당하는

  메시지. (So-Port: 67 / De-Port: 68)

=> Unicast 방식 혹은 Broadcast 방식으로 전송이 가능하다.

  일반적으로 Broadcast 방식을 사용하지만 Client와 Server의

  운영체제에 따라 Unicast 방식으로도 전송이 가능하다.

- windows Server/Linux 등의 서버로 구현을 하지만 Cisco Router의

 경우 DHCP Server 역할을 수행할 수 있다.

=================================================================

** Cisco Router DHCP Server 구성 **

<DHCP_SERVER>

conf t

service dhcp

ip dhcp pool INTERNAL_NET

network 10.10.10.0 255.255.255.0

default-router 10.10.10.254

dns-server 168.126.63.1

lease 8

domain-name kgitbank.com

!

ip dhcp excluded-address 10.10.10.250 10.10.10.254

==================================================================

** Bootp Flag **

- DHCP Discover 메시지 안에는 Bootp flag가 존재하고, 해당 값이

 '0'인 경우에는 Server에게 Offer/Ack 메시지를 Broadcast 방식이

 아니라 Unicast 방식으로 요청하는 것이다.

 (만약 Bootp flag가 '1'인 경우는 Broadcast 방식으로 요청하는

  것이다.)

- DHCP Server가 해당 요청을 지원하는 경우에는 Offer/Ack 메시지를

 Unicast 방식으로 전송한다. (ex. Cisco Router)

 이 경우 IP 헤더의 목적지 IP 주소는 Server 제안하는 IP 주소가

 사용되고, Ethernet 헤더의 목적지 MAC 주소는 Client의 MAC 주소가

 사용된다.

 (Client MAC 주소는 Discover 메시지 안에 들어있다.)

- DHCP Server가 해당 요청을 지원하지 않는 경우에는 이를 무시하고      Offer/Ack 메시지를 Broadcast 방식으로 전송한다. (ex. 2008 Server)

- 즉, DHCP Discover를 전송하는 Client의 OS 종류와 DHCP Server의

 OS 종류에 따라 Offer/Ack 메시지는 Broadcast 혹은 Unciast 방식

 중 하나로 전송된다.

==================================================================

## Server_2008 r2 ##

역할 - DHCP 설치 과정

wins는 사용 안함