DHCP ET TOPOLOGIES

DHCPETTOPOLOGIES
Principes de DHCP
Présentation du protocole
Sur un réseau TCP/IP, DHCP (Dynamic Host Configuration Protocol) permet d'attribuer
automatiquement une adresse IP aux éléments qui en font la demande (qui sont nommés clients
DHCP). Il s'agit de simplifier la configuration d'un réseau par une attribution automatique, plutôt que
de configurer chaque élément séparément.
Un client doit posséder les informations suivantes :
- Une adresse IP ;
- Un masque de sous-réseau ;
- Un bail, c'est-à-dire la durée pendant laquelle l'adresse IP obtenue depuis un serveur DHCP
sera valable.
Le client peut également posséder les informations facultatives suivantes : l'adresse de passerelle par
défaut, de serveurs DNS, une route vers un réseau distant…
Les informations données par DHCP
Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes :
COMMUTATEUR
CLIENT DHCP
SERVEUR DHCP
1. DHCP DISCOVER
2. DHCP OFFER
3. DHCP REQUEST
4. DHCP ACKNOWLEDGMENT
Demande et proposition de bail IP
•
•
La demande est envoyée dans un message DHCP Discover : le client n'a pas d'adresse IP et va
envoyer sur le réseau une trame de diffusion (sur l'adresse MAC FF:FF:FF:FF:FF:FF).
DHCP DISCOVER contient :
o L'adresse matérielle (MAC) du client,
o Le nom d'ordinateur du client.
Tous les serveurs DHCP qui ont reçu la demande et qui disposent d'une configuration valide visà-vis du client, diffusent un message DHCP OFFER contenant :
o L'adresse matérielle du client,
o Une proposition d'adresse IP et de masque de sous-réseau,
o Une durée de bail,
o L'adresse IP du serveur DHCP à l'origine de la proposition.
Le client ne dispose pas encore d'une adresse IP à ce stade, l'envoi de la proposition (DHCP OFFER) ne
peut être fait que par diffusion.
Le serveur DHCP ayant proposé une adresse IP réserve cette dernière, afin qu'elle ne soit pas proposée
à un autre client DHCP.
Page 1 sur 8
Version du 10/12/2013
Sélection et accusé de réception de bail IP
•
•
La sélection du bail IP s'effectue après la réception par le client de DHCP OFFER d'au moins un
serveur DHCP. Le client retient la première offre qui lui parvient et diffuse sur le réseau une
requête DHCP REQUEST. La diffusion contenant l'adresse IP du serveur DHCP retenu, les autres
serveurs DHCP ayant également proposé une IP retirent leur proposition, et libèrent l'adresse IP
proposée au client, afin de la rendre à nouveau disponible pour les requêtes suivantes.
L'accusé de réception du bail IP est diffusé par le serveur DHCP dans un message DHCP ACK,
qui stipule la conclusion du bail. Le client DHCP enregistre alors toutes les informations reçues
(adresse IP, masque, durée du bail et informations facultatives).
Accusé de réception non conclu
Un accusé de réception stipulant la non conclusion d'un bail est un message DHCP NACK (DHCP NO
ACKNOWLEDGMENT), émis par un serveur DHCP, et diffusé dans les cas suivants :
o L'adresse IP dont le client disposait précédemment n'est plus disponible.
o Le client a été physiquement déplacé vers un réseau différent, son adresse IP
n'est donc pas valide sur son nouveau réseau.
Dans ces conditions, le client initie une nouvelle demande, en recommençant le processus DHCP
DISCOVER.
Renouvellement de bail IP
Tentative de renouvellement initial
Lorsque le bail atteint 50% de sa durée, le client DHCP tente de le renouveler directement auprès du
serveur DHCP qui le lui a octroyé. Ce renouvellement s'effectue par le biais d'un message DHCP
REQUEST, et donne lieu à deux cas de figure :
o Le serveur DHCP est disponible, il renouvelle alors le bail en envoyant au client un
DHCP ACK. Le client met à jour sa configuration (bail réinitialisé).
o Le serveur DHCP est indisponible, le client ne recevant pas de réponse, le bail ne
sera pas renouvelé, mais le client conserve son adresse IP puisqu'il lui reste 50%
de la durée du bail à effectuer.
Tentative de renouvellement lors du démarrage
Lorsqu'un client DHCP redémarre, quelle que soit la durée du bail écoulée, il tente de renouveler son
adresse IP (si le bail n'était pas échu) ou d'obtenir à nouveau l'adresse IP dont il disposait lors de sa
dernière connexion (à bail échu).
Ce renouvellement s'effectue par le biais d'un message DHCP REQUEST, et donne lieu à trois cas de
figure :
o Le serveur DHCP est disponible (ainsi que l'IP demandée), il renouvelle alors le
bail en envoyant au client un DHCP ACK, le client met à jour sa configuration (bail
réinitialisé).
o Le serveur DHCP est indisponible, et le bail du client n'est pas expiré, le client ne
recevant pas de réponse, le bail ne sera pas renouvelé, mais le client conserve
son adresse IP jusqu'à expiration du bail à effectuer.
o Le serveur DHCP est indisponible, et le bail du client expiré, le client ne recevant
pas de réponse génère une nouvelle demande complète DHCP DISCOVER.
Tentative de renouvellement ultérieure
Un client dont le bail n'a pas pu être renouvelé lorsqu'il a atteint 50% de sa durée, génère une
nouvelle tentative de renouvellement à 87,5% (7/8ième). Cette tentative de type DHCP REQUEST peut
atteindre le serveur DHCP initial (s'il est à nouveau fonctionnel) ou tout nouveau serveur DHCP
pouvant répondre pour le segment réseau sur lequel se trouve le client. Le client recevra en fonction
des cas de figure un DHCP ACK ou un DHCP NACK.
Page 2 sur 8
Version du 10/12/2013
Choix de la durée des baux
En règle générale, un bail est choisi selon le temps moyen de connexion des clients DHCP.
Par exemple, dans une entreprise ouverte de 8h à 18h, le bail sera de 10h.
Sur les réseaux de sécurité moindre (réseaux sans fil par exemple), le bail sera raccourci.
Par exemple, un réseau WI-FI disponible pour les invités d’une société proposera des baux de 1h.
Agents de relais DHCP
Les diffusions ne passent pas les routeurs. Pour autant, inutile d’installer un serveur DHCP par segment
en entreprise, cela engendrerait un coût de gestion non négligeable. La solution à ce problème est
dans la RFC1542. Il suffit d'installer sur le réseau n'ayant pas de serveur DHCP un agent de relais,
lequel va capturer dans ce réseau les requêtes de diffusion émises par les clients DHCP, avant de les
rediriger dans une trame destinée au serveur DHCP distant (lequel doit, bien sûr, disposer d'une plage
d'adresses IP possibles pour ce réseau distant), en passant par un routeur qui doit prendre en charge
le routage BOOTP.
La trame capturée par l’agent de relais est envoyée au serveur DHCP directement (ce n’est pas une
diffusion).
Mise en œuvre de DHCP
Prérequis
Tous les hôtes d'un réseau ne sont pas forcément des clients DHCP. Il est nécessaire d'identifier les
hôtes nécessitant l'usage d'une adresse IP statique, pour le serveur DHCP lui-même ou un annuaire
Active Directory par exemple, c'est obligatoire ; c’est aussi le cas, la plupart du temps, pour les autres
serveurs du réseau, les routeurs ou les imprimantes réseau.
Lors de la configuration du serveur DHCP, ces adresses statiques doivent être exclues de la plage
assignable à des hôtes dynamiques.
Pour les hôtes distants (au-delà d'un routeur), il faut créer une étendue et activer un agent de relais
sur le réseau distant, si ce dernier ne dispose pas d'un serveur DHCP.
Le nombre total de serveurs DHCP dans un réseau dépend de la configuration de ce dernier.
Il faut définir les options DHCP qu'un client DHCP devra obtenir de son serveur DHCP : adresse de
passerelle par défaut (routeur) ; serveur DNS ; route vers un réseau distant ; boot pxe…
Page 3 sur 8
Version du 10/12/2013
Configuration d'une étendue
Sur le serveur DHCP, la configuration d'une étendue revient à configurer les éléments suivants :
ELEMENT
Nom
Description
DESCRIPTION
Nom attribué à l'étendue DHCP.
Commentaire facultatif relatif à l'étendue, utile lorsqu'un
serveur DHCP gère plusieurs étendues.
Etendue – adresse de début
La plage d'adresses contient l'ensemble des
adresses IP qui pourront être attribuées à un
Etendue – adresse de fin
client DHCP.
Masque de sous-réseau
Masque associé au réseau contenant la plage
d'adresses.
Plage d'exclusion – adresse de Dans la plage d'adresses préalablement définie,
début
certaines adresses IP peuvent être exclues des adresses
qui pourront être attribuées à un client DHCP.
Plage d'exclusion – adresse de fin
Durée du bail – limité à
Durée de validité en jours, heure, minutes, cédé à
un client DHCP.
Durée du bail – illimité
Les baux DHCP cédés à des clients n'expirent
jamais.
Les lignes en bleu sont obligatoires lors de la configuration d'une étendue.
Lorsqu'une étendue a été créée, elle doit être activée sur le serveur DHCP. Si ce dernier se trouve sur
un serveur de type Windows Server en domaine Active Directory, il doit, de plus, être autorisé dans
l'annuaire.
Options DHCP
Une option globale (appelée aussi option de serveur) s'applique à toutes les étendues créées sur ce
serveur DHCP, ce qui évite la répétition dans chaque étendue d'une option devant être similaire pour
tout client DHCP (adresse du serveur DNS par exemple).
Une option par étendue n'est accessible qu'aux clients DHCP de cette étendue (la passerelle par défaut
d'un réseau est propre à une étendue par exemple).
Réservation de client
Le serveur DHCP peut toujours fournir la même adresse IP à un client spécifique (reconnaissable par
son adresse matérielle). Pour certains clients, il peut être important que la même adresse IP soit
distribuée même après expiration du bail (le portable d'un commercial par exemple).
Il est cependant préférable que ce client ait une adresse IP statique si possible.
Vérification de la configuration IP
Un client DHCP peut vérifier sa configuration :
ipconfig /all sous Windows (ou ifconfig sous Linux), permet de vérifier si une adresse IP a bien été
obtenue depuis le serveur DHCP attendu.
ipconfig /release [carte] permet de libérer l'adresse IP du client (lequel se retrouve sans IP) pour la
carte réseau spécifiée.
ipconfig /renew relance le processus DHCP DISCOVER.
Dans un réseau comportant un serveur DNS, l’administrateur système doit permettre la mise à jour
des enregistrements DNS après avoir délivré un nouveau bail à un client DHCP.
Page 4 sur 8
Version du 10/12/2013
Topologie DHCP unique
Schéma réseau
OU
Utilisation
La cible est un seul réseau LAN, pour TPE, petite PME, ou agences réduites de sociétés.
Avantages :
- Configuration réseau automatique des postes de travail,
- Faible coût si le DHCP est intégré au routeur pare-feu.
Inconvénients :
- Maintenance du serveur DHCP (mise en œuvre, journalisation des baux,
options DHCP spécifiques),
- Aucune tolérance aux pannes.
Conseils :
- En l’absence de tolérance aux pannes, prévoir des baux plutôt longs (24h00),
- Pour un réseau de moins de 10 postes, la configuration statique des adresses IP
est préférable (configurer 10 postes n’est pas plus long que de configurer et
maintenir un DHCP).
Variante illustrée:
Il est possible d’avoir plusieurs réseaux LANs dans
le cas où le serveur DHCP est situé sur le routeur
pare-feu. Le DHCP disposera alors d’une plage
d’adresses IP par LAN directement connecté au
routeur.
Cette configuration permet de séparer les clients filaires de l’entreprise des clients
Wi-Fi par exemple.
Page 5 sur 8
Version du 10/12/2013
Topologie DHCP unique avec agent de relais
Schéma réseau
ROUTEUR
eth0
192.168.10.254/24
eth1
192.168.20.254/24
CLIENT DHCP
CLIENT DHCP
SERVEUR DHCP
192 .168.10.1/24
Utilisation
PME gérant plusieurs LANs ou VLANs connectés au même routeur pare-feu.
Rappels :
- L’agent de relais et le serveur DHCP ne peuvent pas être sur le même élément
réseau,
- L’agent de relais est installé sur le réseau n’ayant pas de serveur DHCP (sur la
patte eth1 du routeur pour le schéma précédent).
Avantages :
- Configuration réseau automatique des postes de travail,
- Faible coût puisqu’un seul serveur DHCP gère plusieurs LANs,
- Un agent de relais est facile à configurer.
Inconvénients :
- Maintenance du serveur DHCP (gestion de plusieurs plages d’adresses IP),
- Aucune tolérance aux pannes, la défaillance du serveur DHCP induit
l’indisponibilité de tous les réseaux.
Conseils :
- En l’absence de tolérance aux pannes, prévoir des baux plutôt longs (24h00),
sauf sur les réseaux sans-fil,
- Mettre le serveur DHCP sur un réseau filaire, un réseau sans-fil sera
systématiquement ventilé sur un autre réseau (le pare-feu garantit la sécurité du
réseau filaire).
Variante illustrée:
Il est possible d’avoir plusieurs routeurs
desservant de multiples LANs.
Chaque routeur peut avoir une fonction
agent de relais activée pour
permettre la distribution automatique
d’adresses IP sur tous les LANs.
Le serveur DHCP est placé sur le LAN central (autrement dit, il faut essayer de
limiter le nombre de routeurs entre un client DHCP et un serveur DHCP).
Ce cas de figure est déconseillé sans tolérance aux pannes.
Page 6 sur 8
Version du 10/12/2013
Topologie multi-DHCP tolérante aux pannes avec agent
de relais
Schéma réseau
ROUTEUR
eth0
192.168.10.254/24
eth1
192.168.20.254/24
CLIENT DHCP
CLIENT DHCP
SERVEUR DHCP
192 .168.10.1/24
SERVEUR DHCP
192 .168 .20.1/24
Utilisation
PME et grosses sociétés gérant plusieurs LANs ou VLANs.
Cette configuration nécessite quelques précisions :
• Chaque serveur DHCP possède une plage principale pour le réseau auquel il est directement
connecté, et une plage de secours pour le LAN distant,
• La règle 75/25 est généralement suivie : pour un réseau donné, le DHCP principal gère 75% des
baux délivrables ; le DHCP de secours en gère 25%,
• Il est impératif de proscrire tout chevauchement des plages d’adresses IP entre les 2 DHCP qui
peuvent délivrer des baux pour un réseau donné,
• Sur chaque patte du routeur, un agent de relais doit être configuré,
• En fonctionnement normal, le DHCP local répondra toujours plus vite que le DHCP distant, l’agent
de relais retardant la remise des paquets DHCP au DHCP distant (le retard par défaut est de 4
secondes, dans la RFC 1542, cette valeur est configurable sur la plupart des routeurs).
Rappel :
L’agent de relais et le serveur DHCP ne peuvent pas être sur le même élément
réseau.
Avantages :
- Configuration réseau automatique des postes de travail,
- Un agent de relais est facile à configurer,
- Tolérance aux pannes.
Inconvénients :
Maintenance importante des serveurs DHCP (gestion de plusieurs plages
d’adresses IP, plages de secours, durée des baux).
Conseil :
Prévoir des baux dont la durée représente le temps moyen de connexion des
postes de travail sur le DHCP principal (12h00), en revanche, prévoir des baux de
courte durée sur le serveur de secours (1h00).
Variante illustrée:
Il est possible d’avoir plusieurs routeurs
desservant de multiples LANs. Chaque
routeur peut avoir une fonction agent de
relais activée pour permettre la
distribution automatique d’adresses IP
sur tous les LANs.
Pour un LAN donné, le serveur DHCP principal est toujours le serveur le plus
proche.
Page 7 sur 8
Version du 10/12/2013
Infrastructure DHCP Windows Server® 2012
Schéma réseau
PARE-FEU
eth0
192.168.10.254/24
CLIENT DHCP
SERVEUR DHCP
192 .168 .10.1/24
SERVEUR DHCP
192.168.10.2/24
Pourquoi détailler cette solution ?
Dans un comportement normal, chaque serveur délivre un bail à la demande d’un client.
En se référant au schéma ci-dessus, il est logique de penser que le client DHCP va recevoir 2 baux
puisqu’il y a deux serveurs DHCP sur le réseau (cette topologie devrait être évitée).
La tolérance aux pannes sur un seul réseau (sans faire appel à un serveur DHCP distant via un agent
de relais) est normalement effectuée soit à l’aide d’un cluster de serveurs, soit avec un serveur de
secours :
• Le cluster est constitué de deux machines physiques, mais du point de vue d’un client DHCP sur
le réseau, il a une seule adresse IP,
• Le serveur de secours sera activé si et seulement si le serveur principal est tombé (ce qui
nécessite une bascule manuelle).
Depuis Windows Server® 2012, il est possible de gérer un basculement DHCP automatique :
• Les deux (ou plus…) serveurs DHCP ont chacun une adresse IP et se répartissent les baux
délivrables sur le réseau, ils travaillent ensemble avant de délivrer un bail à un client,
• Si un serveur DHCP n’est plus joignable, le client DHCP auquel il a délivré un bail peut en
demander le renouvellement à l’autre serveur DHCP en ligne (autrement dit, le bail délivré à un
client est répliqué sur les serveurs DHCP membres du basculement),
• L’heure doit être synchronisée entre les 2 serveurs partenaires du basculement DHCP (au-delà
d’une minute d’écart, le partenariat est rompu).
Cette solution permet une tolérance aux pannes importante, ainsi qu’une répartition de charges entre
les serveurs partenaires du basculement si l’administrateur le souhaite (il a le choix entre le mode
« serveur de secours » ou le mode « partage de charge », ce dernier est le mode par défaut).
Synthèse
« La topologie DHCP idéale » n’existe pas, elle est fonction de nombreux facteurs qui ont été détaillés
ici, du choix des options que le serveur DHCP doit délivrer à ses clients, des possibilités
supplémentaires offertes par certains éditeurs, de spécificités que votre Système d’Informations
présente.
Ce document propose certaines de ces configurations, qui pourront vous guider dans le choix éclairé de
la meilleure topologie possible, adaptée à vos besoins.
Si vous avez des questions ou des remarques, envoyez un courriel à [email protected].
Page 8 sur 8
Version du 10/12/2013