[14] DHCP server, DHCP dual server

- 2015.1.22

1. DHCP server

[DHCP 설명]

TCP/IP 자동 설정

     사용자 컴퓨터의 IP 주소가 자동으로 설정된다.

     정확한 네트워크 구성이 보장된다.

     사용자 컴퓨터의 네트워크 구성 정보가 자동으로 업데이트 된다.

     네트워크 상에서 발생할 수 있는 일반적인 문제들이 제거된다.

TCP/IP 수동 설정

     IP 주소를 사용자가 직접 지정

     IP 주소를 잘 못 입력할 수 있다.

     잘못된 네트워크 구성은 네트워크 통신의 문제를 일으킨다.

     컴퓨터를 자주 이동시킬 경우 관리 작업의 부하를 가져온다.

[DHCP 임대 생성 과정]

1) Discover

DHCP 서버를 찾는 패킷을 Broadcast 함. 클라이언트는 서버에 대한 정보를 모른다.

     => 아무나 정상적인 서버라 속일 수 있다. (DHCP Snoofing)

2) Offer

Discover 메시지를 받은 DHCP 서버가 IP Address 정보를 담고 있는 패킷을 Broadcast 함. 여러 서버가 클라이언트에게 Offer 신호를 보냈다면 클라이언트는 선착순으로 먼저 온 신호를 채택해서 사용한다.

3) Request

DHCP 클라이언트는 임대 받은 IP Address로 임대 해 준 서버의 IP Address를 담은 패킷을 Broadcast 함.

4) Ack

자신이 보낸 IP Address가 채택되지 않은 서비스는 해당 주소를 IP Database에 유지하고, 자신이 보낸 IP Address가 채택 된 서비스는 IP 임대기간, DNS, Default Gateway 등의 DHCP 옵션 값을 담은 패킷을 Broadcast 함.

IP Address 임대 받지 못하면 APIPA(Automatic Private IP Address)가 진행되며,

169.254.0.0 대역대의 주소 중 하나를 선택하여 자신의 IP Address로 설정

[DHCP 임대 갱신]

DHCP로 맨 처음 IP를 받아오면 특정 시간 만큼 임대를 받는다.

임대기간 1/2 시점에 자신이 쓰던 IP로 DHCP 갱신 요청을 보내 DHCP 갱신을 한다.

DHCP 갱신 요청이 실패되면 임대 시간 7/8 지점에서 DHCP 작업을 처음부터 다시 한다.

만약 DHCP server가 2개 이상 경우, DHCP의 Offer 메세지가 빨리 도착한 것을 이용한다.

=> 공격자 server 가 Offer 패킷을 계속 보내는 공격을 할 수 있다.

    PC는 평소에 ㅇㅇㅇㅇㅇ 임대갱신 신호를 보내면 해당 패킷을 받아 공격자 server가 주는 ip를 받는다.

    Active Directory 인증 절차를 이용하면 Active Directory 에 인증 된 DHCP server 만 PC에 패킷을 보낼 수 있다.

[DHCP 기능 추가]

서버 관리자 - 역할 - 역할 추가 - DHCP 서버 체크

 - 네트워크 연결 바인딩 선택 에 IP 체크  (DHCP 신호를 주고 받을 네트워크 주소)

 - 기본 셋팅으로 진행 - DHCPv6 사용 안함 체크 - 설치

[DHCP 설정]

시작 - 관리도구 - DHCP - server1

IPv4 우클릭 - 새 범위 - 이름 지정

 - 시작 IP 주소 및 끝 IP 주소 입력 - 기타 다른 설정은 하지 말고 다음 눌러 설정 마침

 - 새로 만들어진 범위를 보면 아래 화살표가 되어있다. -> 비활성화라는 뜻. 우클릭 해서 활성화

주소 임대

     임대 된 DHCP들의 정보를 확인할 수 있다.

범위 옵션

     라우터 : 기본 Gateway 주소

     DNS 서버 : DNS 서버를 지정해준다. 추가 시 DNS 서비스가 서비스 중인지 유효성검사를 한다.

필터 - 허용

     허용 필터에 허용할 MAC 주소 입력하면 된다. -> 활성화 필요

     허용 필터를 사용하게 되면 해당 MAC 주소 외에는 DHCP 사용이 불가하다.

          => 인가된 PC만 사용 가능하도록 할 수 있음.

     허용 필터를 사용하게 된다면 구지 거부 필터를 사용할 필요가 없다.

[DHCP 문제]

# Server1에 DHCP 역할 추가

 - IP Address Pool : 200.200.200.200 ~ 200.200.200.250/24

   제외 주소 : 200.200.200.201

 - 옵션 : DNS Server IP 200.200.200.50

            게이트 웨이 200.200.200.254

 - 예약 주소 : Server2 예약 200.200.200.249

====================================

확인 방법 :

Server2 에서 DHCP 사용 설정 후 IP 200.200.200.249로 받아오면 성공

Client1 에서 DHCP 사용 설정 후 확인

 - IP 200.200.200.200

 - 게이트웨이 200.200.200.254

 - DNS 주소 200.200.200.50

[Tip]

1) cmd 창에서 복사 : 우클릭 - 표시 누른 뒤 드래그 하면 자동으로 클립보드에 복사 됨

2) 예약 구성을 하는 경우, 추가 옵션을 따로 지정해줄 수 있다.

3) 예약 구성 시 실제 그 주소를 받아 갔는지 알 수 없으며 ip 주소가 충돌될 수도 있다.

2. DHCP dual server 구축

랜카드 1개를 더 붙인다.

시작 - DHCP - server1 우클릭 - 바인딩 추가/제거 - 추가된 네트워크 카드 체크

새로운 범위 추가해서 진행하면 됨

[DHCP dual server 문제]

1. Server1에서 네트워크 인터페이스 하나 추가

 - 네트워크 어댑터 이름 변경 

 # 로컬 영역 연결 -> 경영팀

 # 로컬 영역 연결 -> 기술팀

2. Server1에서 DHCP 역할 추가 

 - 경영팀 망으로 DHCP 설정

 # IP Address : 100.100.100.10~30

 # 게이트 웨이 : 100.100.100.254

 # DNS 서버 : 100.100.100.200

 - 기술팀 망으로 DHCP 설정

 # IP Address : 200.200.200.10~30

 # 게이트 웨이 : 200.200.200.254

 # DNS 서버 : 200.200.200.200

3. Server2 에서 경영팀 망으로 DHCP 정보 할당

4. Client1 에서 기술팀 망으로 DHCP 정보 할당

[Tip]

1) Edit - Virtual Network Editor - Use local DHCP service to distribute IP address to VMs 체크

2) 기존 실습에서 허용해놨던 필터 비활성

3) 범위 추가 후 범위 활성화

4) 새로 추가한 랜카드에 해당 대역대의 고정 ip 입력 후 바인딩 추가/제거 설정