DHCP : architecture en entreprise

DHCP (Dynamic Host Configuration Protocol) distribue automatiquement les configurations IP (adresse, DNS, gateway, NTP) aux endpoints. Architecture centralisée or distribuée, HA via failover or split-scope, pièges de reservation and conflict detection. Guide architecture DHCP entreprise 2026.

Architecture DHCP

DHCP relay (recommandé)

• Router/switch L3 forward DHCP request vers serveur DHCP central
• 1-2 serveurs DHCP for tout le campus
• Configuration : ip helper-address 10.0.0.10 (sur SVI)
• Avantages : centralisation, gestion simple, logs centralisés

DHCP local (switch)

• Switch L3 = serveur DHCP for its VLAN
• Évite latence si WAN down
• Compliqué to maintenir sur multi-sites

HA DHCP

Failover DHCPv4 (RFC 2131bis)

• Windows Server 2012+ : DHCP failover natif
• Kea DHCP (open source ISC) : failover actif-actif
• Active-passive : serveur B reprend si A down
• Active-active : répartition of the charge (split-scope 50/50)

Split-scope (simple)

• 2 serveurs, chacun gère 50% of scope
• Serveur A : 10.0.10.1-100
• Serveur B : 10.0.10.101-200
• Si l'un tombe, l'autre continue to servir its adresses
• Pas de failover entre serveurs, mais redundancy clients

Options DHCP importantes

• Option 1 : subnet mask
• Option 3 : default gateway
• Option 6 : DNS servers
• Option 15 : domain name
• Option 42 : NTP servers
• Option 43 : vendor-specific (ex : config AP Aruba, FortiAP)
• Option 60 : vendor class identifier
• Option 66 : TFTP server (config téléphones IP)
• Option 67 : bootfile
• Option 82 : relay agent information (DHCP snooping)
• Option 150 : TFTP servers (Cisco phones)

DHCP Snooping (security)

• Switch vérifie que les réponits DHCP viennent de ports 'trusted'
• Ports trusted : uplinks vers DHCP server
• Ports untrusted : access ports (endpoints)
• Bloque rogue DHCP server
• Cisco : ip dhcp snooping ; ip dhcp snooping vlan 10-20 ; interface Gi1/0/48 ; ip dhcp snooping trust

DAI (Dynamic ARP Inspection)

Prévient ARP spoofing en validant ARP replies contre la binding table DHCP Snooping :

• ip arp inspection vlan 10-20
• ip arp inspection trust (sur ports trusted)
• Drop si ARP reply n'est pas dans binding table

IP Source Guard

Valide que la source IP d'un paquet correspond to l'adresse DHCP-assigned of port :

• interface Gi1/0/10 ; ip verify source
• Bloque IP spoofing locaux

Scopes and plages

• Scope par VLAN/subnet
• Exclusion : IP statiques (gateway, servers, printers)
• Reservations : MAC → IP fixe (imprimantes, caméras)
• Lease time : 24-72h for data, 2h for guest WiFi
• Test : 10 users = scope /24, 100 users = /23

DHCPv6

• Stateful : équivalent DHCPv4, assigne adresits IPv6
• Stateless : juste options (DNS, NTP) — adresse via SLAAC
• Prefix delegation : ISP → CPE délègue /48 or /56
• Helper : ipv6 dhcp relay destination 2001:db8::10

Serveurs DHCP populaires

• Microsoft Windows Server DHCP : integrated AD, gratuit, 90% of SMB
• ISC Kea (open source) : successeur DHCPd historique, feature-rich
• Infoblox DDI : commercial, DNS+DHCP+IPAM unifié (leader grand compte)
• SolarWinds IPAM : commercial, Windows-based
• Cisco DNA Center : integrated, for SD-Access
• phpIPAM : open source, IPAM (pas DHCP server direct)

DHCP + NAC intégration

• ISE/ClearPass/FortiNAC : attribution VLAN selon identité
• DHCP triggered : client demande IP → NAC identifie → assigne VLAN → DHCP donne IP of bon scope
• Requiert coordination DHCP + RADIUS + switch

Troubleshooting

• show ip dhcp binding : leaits actifs
• show ip dhcp conflict : conflits détectés
• debug ip dhcp server packet (Cisco prod attention)
• Wireshark capture UDP 67/68
• Côté Windows : netsh dhcp show serverdashboard

Commander chez OPTINOC

Architecture DHCP entreprise : HA, snooping, DAI, IP Source Guard. Intégration NAC (ISE/ClearPass/FortiNAC). Migration DHCPv6. Devis sous 48h.