我使用“isc-dhcp-server”包配置了在 Linux 机器上运行的 DHCP 服务器。
我想添加某种身份验证步骤。客户端和服务器都将保留某种令牌,当客户端请求新 IP 时,DHCP 服务器将检查双方是否具有相同的令牌。如果是,客户端将从 DHCP 服务器接收新 IP。
这样的事可能吗?(使用 isc-dhcp-server 或其他工具)?
如果没有,在使用 dhclient 请求后,在接收新 IP 之前还有其他方法可以检查我正在连接哪个 dhcp 服务器吗?
谢谢。
答案1
你想要的是802.1X
有一个rfc3118 复制代码如果实施,将实现您所追求的目标,但目前还未实现。维基百科dhcp 页面上有相关说明:
另一个扩展,DHCP 消息身份验证 (RFC 3118),提供了一种对 DHCP 消息进行身份验证的机制。遗憾的是,由于管理大量 DHCP 客户端的密钥存在问题,RFC 3118 尚未得到广泛采用(截至 2002 年)。2007 年出版的一本关于 DSL 技术的书籍指出,“针对 RFC 3118 提出的安全措施,发现了许多安全漏洞。这一事实,加上 802.1x 的引入,减缓了经过身份验证的 DHCP 的部署和采用率,因此它从未得到广泛部署。”2010 年出版的一本书指出,“DHCP 身份验证的实现非常少。由于哈希计算而导致的密钥管理和处理延迟的挑战被认为与预期的好处相比代价太高了。”