• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C E352[E328]以太网交换机 配置指导-Release 1602(V1.02)

23-DHCP操作

本章节下载 23-DHCP操作  (549.16 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/E/E328[E352]/Configure/Operation_Manual/H3C_E352[E328]_Release1602_OM(V1.02)/201506/874570_30005_0.htm

23-DHCP操作


1 DHCP概述

l    新增“DHCP Snooping支持Option 82”特性,具体命令请参见3.1.2  DHCP Snooping支持Option 82简介3.2.2  配置DHCP Snooping支持Option 82功能

l    新增“IP过滤”特性,具体命令请参见3.1.3  IP过滤简介3.2.3  配置IP过滤功能

l    新增“DHCP报文限速”特性,具体命令请参见4 DHCP报文限速配置

 

1.1  DHCP简介

随着网络规模的不断扩大和网络复杂度的提高,经常出现计算机的数量超过可供分配的IP地址的情况。同时随着便携机及无线网络的广泛使用,计算机的位置也经常变化,相应的IP地址也必须经常更新,从而导致网络配置越来越复杂。DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)就是为解决这些问题而发展起来的。

DHCP采用“客户端/服务器”通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等配置信息,以实现网络资源的动态配置。

在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机),如图1-1所示:

图1-1 DHCP典型应用

 

1.2  DHCP的IP地址分配

1.2.1  IP地址分配策略

针对客户端的不同需求,DHCP提供三种IP地址分配策略:

l              手工分配地址:由管理员为少数特定客户端(如WWW服务器等)静态绑定IP地址。通过DHCP将配置的固定IP地址发给客户端。

l              自动分配地址:DHCP为客户端分配租期为无限长的IP地址。

l              动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,当使用期限到期后,客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。

1.2.2  IP地址动态获取过程

DHCP客户端从DHCP服务器动态获取IP地址,主要通过四个阶段进行:

(1)        发现阶段,即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCP-DISCOVER报文。

(2)        提供阶段,即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端发送的DHCP-DISCOVER报文后,根据IP地址分配的优先次序从地址池中选出一个IP地址,与其他参数一起通过DHCP-OFFER报文发送给客户端(发送方式根据客户端发送的DHCP-DISCOVER报文中的flag字段决定,具体请见1.3  DHCP报文格式的介绍)。

(3)        选择阶段,即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文,客户端只接受第一个收到的DHCP-OFFER报文,然后以广播方式发送DHCP-REQUEST报文,该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。

(4)        确认阶段,即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后,只有DHCP客户端选择的服务器会进行如下操作:如果确认地址分配给该客户端,则返回DHCP-ACK报文;否则将返回DHCP-NAK报文,表明地址不能分配给该客户端。

l    客户端收到服务器返回的DHCP-ACK确认报文后,会以广播的方式发送免费ARP报文,探测是否有主机使用服务器分配的IP地址,如果在规定的时间内没有收到回应,客户端才使用此地址。否则,客户端会发送DHCP-DECLINE报文给DHCP服务器,并重新申请IP地址。

l    如果网络中存在多个DHCP服务器,除DHCP客户端选中的服务器外,其它DHCP服务器中本次未分配出的IP地址仍可分配给其他客户端。

 

1.2.3  IP地址的租约更新

如果采用动态地址分配策略,则DHCP服务器分配给客户端的IP地址有一定的租借期限,当租借期满后服务器会收回该IP地址。如果DHCP客户端希望延长使用该地址的期限,需要更新IP地址租约。

在DHCP客户端的IP地址租约期限达到一半时间时,DHCP客户端会向DHCP服务器单播发送DHCP-REQUEST报文,进行IP租约的更新。如果此IP地址有效,则DHCP服务器单播回应DHCP-ACK报文,通知DHCP客户端已经获得新IP租约;如果此IP地址不可以再分配给该客户端,则DHCP服务器回应DHCP-NAK报文,通知DHCP客户端不能获得新的租约。

如果在租约的一半时间进行的续约操作失败,DHCP客户端会在租约期限达到7/8时,再次广播发送DHCP-REQUEST报文进行续约。DHCP服务器的处理同上,不再赘述。

1.3  DHCP报文格式

DHCP有8种类型的报文,每种报文的格式相同,只是报文中的某些字段取值不同。DHCP报文格式基于BOOTP的报文格式,具体格式如图1-2所示(括号中的数字表示该字段所占的字节):

图1-2 DHCP报文格式

 

各字段的解释如下:

l              op:DHCP报文的操作类型,分为请求报文和响应报文,1为请求报文;2为响应报文。

l              htype、hlen:DHCP客户端的硬件地址类型及长度。

l              hops:DHCP报文经过的DHCP中继的数目。DHCP请求报文每经过一个DHCP中继,该字段就会增加1。

l              xid:客户端发起一次请求时选择的随机数,用来标识一次地址请求过程。

l              secs:DHCP客户端开始DHCP请求后所经过的时间。

l              flags:第一个比特为广播响应标识位,用来标识DHCP服务器响应报文是采用单播还是广播发送,0表示采用单播方式,1表示采用广播方式。其余比特保留不用。

l              ciaddr:DHCP客户端的IP地址。

l              yiaddr:DHCP服务器分配给客户端的IP地址。

l              siaddr:DHCP客户端获取IP地址等信息的服务器IP地址。

l              giaddr:DHCP客户端发出请求报文后经过的第一个DHCP中继的IP地址。

l              chaddr:DHCP客户端的硬件地址。

l              sname:DHCP客户端获取IP地址等信息的服务器名称。

l              file:DHCP服务器为DHCP客户端指定的启动配置文件名称及路径信息。

l              option:可选变长选项字段,包含报文的类型、有效租期、DNS(Domain Name System,域名系统)服务器的IP地址、WINS(Windows Internet Naming Service,Windows Internet名称服务)服务器的IP地址等配置信息。

1.4  协议规范

与DHCP相关的协议规范有:

l              RFC2131:Dynamic Host Configuration Protocol

l              RFC2132:DHCP Options and BOOTP Vendor Extensions

l              RFC1542:Clarifications and Extensions for the Bootstrap Protocol

l              RFC3046:DHCP Relay Agent Information option

 


2 DHCP中继配置

DHCP中继中对于接口的相关配置,目前只能在VLAN接口上进行。

 

2.1  DHCP中继简介

2.1.1  DHCP中继的应用环境

由于在IP地址动态获取过程中采用广播方式发送报文,因此DHCP只适用于DHCP客户端和服务器处于同一个子网内的情况。为进行动态主机配置,需要在所有网段上都设置一个DHCP服务器,这显然是很不经济的。

DHCP中继功能的引入解决了这一难题:子网内的客户端可以通过DHCP中继与其他子网的DHCP服务器通信,最终获取到IP地址。这样,多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。

2.1.2  DHCP中继的基本原理

图2-1是DHCP中继的典型应用示意图。

图2-1 DHCP中继的典型组网应用

 

通过DHCP中继完成动态配置的过程中,DHCP客户端与DHCP服务器的处理方式与不通过DHCP中继时基本相同。下面只说明DHCP中继的转发过程,报文的具体交互过程请参见“1.2.2  IP地址动态获取过程”。

(1)        具有DHCP中继功能的网络设备收到DHCP客户端发送的DHCP-DISCOVER或DHCP-REQUEST广播报文后,根据配置将报文单播转发给指定的DHCP服务器。

(2)        DHCP服务器进行IP地址等参数的分配,并通过DHCP中继将配置信息发送给客户端(发送方式根据客户端发送的DHCP-DISCOVER报文中的flag字段决定,具体请见1.3  DHCP报文格式的介绍),完成对客户端的动态配置。

2.1.3  DHCP中继支持Option 82

1. Option 82简介

Option 82是DHCP报文中的中继代理信息选项(Relay Agent Information Option),该选项记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。支持Option 82选项的DHCP服务器还可以根据该选项的信息制订IP地址和其他参数的分配策略,提供更加灵活的地址分配方式。

Option 82选项最多可以包含255个子选项。若定义了Option 82,则至少要定义一个子选项。目前设备只支持两个子选项:sub-option 1(Circuit ID,电路ID子选项)和sub-option 2(Remote ID,远程ID子选项)。

2. DHCP中继对Option 82的填充内容

由于RFC 3046对于Option 82的内容没有统一规定,不同厂商通常根据需要进行填充。目前,E352&E328以太网交换机作为DHCP中继设备,支持Option 82子选项的扩展填充格式,其默认情况下的填充内容如图2-2图2-3所示(括号中的内容为该字段的固定取值)。

l              sub-option 1的内容是接收到DHCP客户端请求报文的端口所属VLAN的编号以及端口索引(端口索引的取值为端口物理编号减1)。

l              sub-option 2的内容是接收到DHCP客户端请求报文的DHCP中继设备的桥MAC地址。

图2-2 DHCP中继对Option 82中sub-option 1的填充内容

 

图2-3 DHCP中继对Option 82中sub-option 2的填充内容

 

3. DHCP中继支持Option 82工作机制

DHCP客户端通过DHCP中继从DHCP服务器获取IP地址的过程与直接从DHCP服务器获取IP地址的过程基本相同,都要经历发现、提供、选择和确认四个阶段,这里将只介绍DHCP中继支持Option 82时的工作机制,具体如下:

(1)        DHCP中继设备收到DHCP请求报文后,将检查报文中是否已有Option 82选项,并进行相应的处理。

l              如果请求报文中已有Option 82,DHCP中继设备会按照配置的策略对该报文进行处理(丢弃、用中继设备本身的Option 82选项替代报文中原有的Option 82选项或保持报文原有的Option 82选项),然后将请求报文转发给DHCP服务器。

l              如果请求报文中没有Option 82选项,则DHCP中继设备将Option 82选项添加到报文中后转发给DHCP服务器。

(2)        DHCP中继设备收到DHCP服务器的返回报文后,将剥离报文中的Option 82信息,然后将带有DHCP配置信息的报文转发给DHCP客户端。

DHCP客户端发送的请求报文有两种,分别为DHCP-DISCOVER报文和DHCP-REQUEST报文。由于不同厂商生产的DHCP服务器设备对请求报文的处理机制不同,有些设备处理DHCP-DISCOVER报文中的Option 82信息,而有些处理DHCP-REQUEST报文中的Option 82信息,因此DHCP中继设备将在这两种报文中都添加Option 82选项。

 

2.2  配置DHCP中继

当交换机处于IRF系统中时,要在交换机上配置DHCP中继,必须保证交换机上已经开启了UDP Helper配置。

 

2.2.1  DHCP中继配置任务简介

表2-1 DHCP中继配置任务简介

配置任务

说明

详细配置

配置DHCP中继转发的目的服务器组

必选

2.2.2 

配置DHCP中继的安全功能

可选

2.2.3 

配置DHCP中继支持Option 82功能

可选

2.2.4 

 

2.2.2  配置DHCP中继转发的目的服务器组

为了提高可靠性,可以在一个网络中设置多个DHCP服务器。多个DHCP服务器构成一个DHCP服务器组。当接口与DHCP服务器组建立归属关系后,会将DHCP报文转发给服务器组中的所有服务器。

表2-2 配置DHCP中继转发的目的服务器组

操作

命令

说明

进入系统视图

system-view

-

配置DHCP服务器组中DHCP服务器的地址

dhcp-server groupNo ip ip-address&<1-8>

必选

缺省情况下,没有配置DHCP服务器组中的服务器的IP地址

配置接口与DHCP服务器组的归属关系

interface interface-type interface-number

必选

缺省情况下,VLAN接口没有与任何一个DHCP服务器组建立归属关系

dhcp-server groupNo

 

E352&E328以太网交换机为防止恶意用户对未使用SOCKET的攻击,提高交换机的安全性,提供了如下功能:

l    在启动DHCP功能时,才打开DHCP使用的UDP 67和UDP 68端口。

l    在关闭DHCP功能时,同时关闭UDP 67和UDP 68端口。

具体的实现是:

l    执行dhcp-server命令配置VLAN接口与DHCP服务器组的归属关系后,DHCP Relay功能开启,同时打开DHCP使用的UDP 67和UDP 68端口。

l    执行undo dhcp-server命令删除VLAN接口与DHCP服务器组的归属关系,并关闭其它DHCP服务,即同时关闭DHCP使用的UDP 67和UDP 68端口。

 

l    每个DHCP服务器组最多可以配置8个DHCP服务器地址。

l    每个DHCP服务器组可以对应多个接口。但每个接口只能对应一个DHCP服务器组。

l    如果多次执行dhcp-server groupNo命令,新的配置会覆盖已有配置。

l    VLAN接口视图下的dhcp-server groupNo命令中所指定的组号,需事先通过dhcp-server groupNo ip ip-address&<1-8>命令进行配置。

 

2.2.3  配置伪DHCP服务器检测功能

如果网络中有私自架设的DHCP服务器,当客户端申请IP地址时,这台DHCP服务器就会与DHCP客户端进行交互,导致客户端获得错误的IP地址,这种私设的DHCP服务器称为伪DHCP服务器。

在DHCP中继设备上开启伪DHCP服务器检测功能后,当其接收到siaddr字段(为客户端分配IP地址的服务器IP地址)不为0的DHCP报文时,DHCP中继设备会记录报文中siaddr字段的值及接收到报文的接口信息,以便管理员及时发现并处理伪DHCP服务器。

表2-3 配置伪DHCP服务器检测功能

操作

命令

说明

进入系统视图

system-view

-

开启伪DHCP服务器检测功能

dhcp-server detect

必选

缺省情况下,伪DHCP服务器检测功能处于关闭状态

 

l    开启伪DHCP服务器检测功能后,对所有DHCP服务器都会进行记录,包括合法的DHCP服务器,管理员需要从系统日志中查找伪DHCP服务器。

l    开启伪DHCP服务器检测功能后,对每个DHCP服务器只记录一次。记录的DHCP服务器信息被清除后,将重新记录。

 

2.2.4  配置DHCP中继支持Option 82功能

1. 配置准备

在配置DHCP中继支持Option 82功能前需要先进行下列配置:

l              配置DHCP中继设备的网络参数及中继功能

l              配置DHCP服务器的网络参数、地址池及地址分配租期等分配策略

l              通过配置保证中继和服务器之间路由可达

2. 配置DHCP中继支持Option 82功能

表2-4 配置DHCP中继支持Option 82功能

操作

命令

说明

进入系统视图

system-view

-

配置DHCP中继支持Option 82功能

dhcp relay information enable

必选

缺省情况下,DHCP中继不支持Option 82功能

配置DHCP中继对包含Option 82的请求报文的处理策略

dhcp relay information strategy { drop | keep | replace }

可选

缺省情况下,处理策略为replace

 

l    缺省情况下,开启DHCP中继支持Option 82功能后,设备对包含Option 82的请求报文将采用replace策略进行处理。但如果之前配置了其他处理策略,则开启DHCP中继支持Option 82功能的操作不会改变已经配置的处理策略。

l    为使Option 82功能正常使用,需要在DHCP服务器和DHCP中继上都进行相应配置。

 

2.3  DHCP中继配置显示与维护

完成上述配置后,在任意视图下执行display命令,可以显示配置DHCP中继后的运行情况。通过查看显示信息,用户可以验证配置的效果。在用户视图下使用reset命令可以清除指定DHCP服务器组的统计信息。

表2-5 DHCP中继配置显示与维护

操作

命令

说明

显示DHCP服务器组的相关信息

display dhcp-server groupNo

display命令可在任意视图下执行

显示VLAN接口对应的DHCP服务器组的相关信息

display dhcp-server interface Vlan-interface vlan-id

清除指定DHCP服务器组的统计信息

reset dhcp-server groupNo

reset命令在用户视图下执行

 

2.4  DHCP中继典型配置举例

1. 组网需求

l              具有DHCP中继功能的Switch A通过端口(属于VLAN1)连接到DHCP客户端所在的网络,交换机VLAN接口1的IP地址为10.10.1.1/24,VLAN接口2的IP地址为10.1.1.2/24;

l              DHCP服务器的IP地址为10.1.1.1/24;

l              通过Switch A转发DHCP报文,DHCP客户端可以从DHCP服务器上申请到10.10.1.0/24网段的IP地址及相关配置信息。

2. 组网图

图2-4 DHCP中继组网示意图

 

3. 配置步骤

# 配置DHCP服务器的组号为1,IP地址为10.1.1.1。

<SwitchA> system-view

[SwitchA] dhcp-server 1 ip 10.1.1.1

# 配置Vlan-interface1接口对应DHCP服务器组1。

[SwitchA] interface Vlan-interface 1

[SwitchA-Vlan-interface1] dhcp-server 1

l    为了使DHCP客户端能从DHCP服务器获得IP地址,还需要在DHCP服务器上进行一些配置。由于作为DHCP服务器的设备不同,所需进行的配置也不同,故此处从略。

l    DHCP中继与DHCP服务器之间必须路由可达。

 

2.5  DHCP中继常见配置错误举例

1. 故障现象

客户端不能通过DHCP中继获得配置信息。

2. 分析

可能中继的配置有问题。DHCP中继功能不正常时,可以打开调试开关,并通过执行display命令以显示调试信息和接口状态信息的方法来分析定位。

3. 处理过程

l              检查DHCP服务器和DHCP中继是否开启了DHCP服务。

l              检查DHCP服务器是否配置有DHCP客户端所在网段的地址池。

l              检查具有DHCP中继功能的网络设备和DHCP服务器是否配置有相互可达的路由。

l              检查具有DHCP中继功能的网络设备,查看在连接DHCP客户端所在网段的接口上是否配置有正确的DHCP服务器组,DHCP服务器组的IP地址配置是否正确。

 


3 DHCP Snooping配置

3.1  简介

3.1.1  DHCP Snooping简介

出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户从DHCP服务器获取的IP地址和用户主机的MAC地址的对应关系。

l              交换机可以通过运行在网络层的DHCP中继的安全功能记录用户的IP地址信息。

l              交换机可以通过运行在数据链路层的DHCP Snooping功能监听DHCP报文,记录用户的IP地址信息。

另外,在网络中如果有私自架设的DHCP服务器,将可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口与不信任端口。

l              信任端口是与合法的DHCP服务器直接或间接连接的端口。信任端口对接收到的DHCP报文正常转发,从而保证了DHCP客户端获取正确的IP地址。

l              不信任端口是不与合法的DHCP服务器连接的端口。如果从不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文则会丢弃,从而防止了DHCP客户端获得错误的IP地址。

DHCP Snooping功能在E352&E328以太网交换机应用的典型组网如图3-1所示。图中的Switch A为E352&E328以太网交换机。

图3-1 DHCP Snooping典型组网

 

DHCP Snooping通过以下两种方法来获得用户从DHCP服务器获取的IP地址和用户MAC地址信息:

l              监听DHCP-REQUEST报文

l              监听DHCP-ACK报文

3.1.2  DHCP Snooping支持Option 82简介

1. Option 82简介

Option 82的基本概念和作用请参见2.1.3  DHCP中继支持Option 82部分介绍。

2. DHCP Snooping支持Option 82的填充内容与帧格式

由于Option 82的内容没有统一规定,不同厂商通常根据需要进行填充。目前,E352&E328以太网交换机作为DHCP Snooping设备,对Option 82子选项在默认情况下的填充内容为:

l              sub-option 1(Circuit ID,电路ID子选项)的内容是接收到DHCP客户端请求报文的端口所属VLAN的编号以及端口索引(端口索引的取值为端口物理编号减1)。

l              sub-option 2(Remote ID,远程ID子选项)的内容是接收到DHCP客户端请求报文的DHCP Snooping设备的桥MAC地址。

缺省情况下,E352&E328以太网交换机作为DHCP Snooping设备,Option 82的实现格式为扩展格式。以默认填充内容为例,子选项的扩展格式如图3-2图3-3所示。即:在Circuit ID子选项(或Remote ID子选项)中分别定义了Circuit ID(或Remote ID)的类型和长度。

在扩展格式中,Circuit ID(或Remote ID)的类型字段取值由存储格式决定。如果是HEX格式,则设置为0;如果是ASCII格式,则设置为1。

图3-2 Circuit ID子选项的扩展格式

 

图3-3 Remote ID子选项的扩展格式

 

在实际组网环境中,由于一些网络设备所支持的Option 82格式不支持Remote ID和Circuit ID的类型和长度标识,为了与这些设备正常互通,E352&E328以太网交换机支持配置Option 82的格式为标准格式。以默认填充内容为例,子选项的标准格式如图3-4图3-5所示。即:在Circuit ID子选项(或Remote ID子选项)中不包含标识Circuit ID(或Remote ID)的类型和长度的两个字节。

图3-4 Circuit ID子选项的标准格式

 

图3-5 Remote ID子选项的标准格式

 

3. DHCP Snooping支持Option 82工作机制

设备配置了DHCP Snooping和DHCP Snooping支持Option 82功能后,当收到的DHCP客户端发送的DHCP请求报文中带有Option 82选项时,根据配置的处理策略和子选项内容不同,DHCP Snooping对报文的处理机制不同,详见表3-1

表3-1 DHCP Snooping设备对携带Option 82选项的报文的处理方式

处理策略

子选项内容

DHCP Snooping设备对报文的处理

Drop

-

丢弃报文

Keep

-

保持报文中的Option 82选项不变并进行转发

Replace

未配置子选项的内容

采用默认内容填充Option 82字段,替换报文中原有的Option 82选项并进行转发

存储格式为dhcp-snooping information format命令指定的格式(如果未配置此命令,则采用默认的HEX格式)

配置了Circuit ID子选项的内容

将Option 82选项中Circuit ID填充为用户自定义的内容(存储格式为ASCII),替换原有的Option 82选项并进行转发

配置了Remote ID子选项的内容

将Option 82选项中Remote ID填充为用户自定义的内容(存储格式为ASCII),替换原有的Option 82选项并进行转发

 

当收到的DHCP客户端发送的DHCP请求报文中未带Option 82选项时,根据配置的子选项内容,对Option字段进行填充后,转发报文,详见表3-2

表3-2 DHCP Snooping设备对未携带Option 82选项的报文的处理方式

子选项内容

DHCP Snooping设备对报文的处理

未配置子选项的内容

采用默认内容填充报文中的Option 82字段并进行转发

存储格式为dhcp-snooping information format命令指定的格式(如果未配置此命令,则采用默认的HEX格式)

配置了Circuit ID子选项的内容

将Option 82选项中Circuit ID填充为用户自定义的内容(存储格式为ASCII)并进行转发

配置了Remote ID子选项的内容

将Option 82选项中Remote ID填充为用户自定义的内容(存储格式为ASCII)并进行转发

 

Option 82字段中对Circuit ID子选项或Remote ID子选项的内容的配置相互独立,可以单独配置也可以同时配置,且配置顺序不分先后。

 

当接收到DHCP服务器的DHCP回应报文时,如果报文中含有Option 82选项,则删除Option 82字段进行转发;如果报文中不含有Option 82选项,则直接转发。

3.1.3  IP过滤简介

DoS(Denial of Service,拒绝服务)攻击是指攻击者利用攻击工具向服务器发送大量伪造的不同源IP地址的请求报文,使网络无法正常工作。具体的影响如下:

l              耗尽服务器的资源,使其拒绝对其它请求的响应;

l              由于交换机接收到此类报文需上送CPU处理,因此请求报文数量过多,会导致交换机CPU利用率持续上升,不能正常工作。

交换机可以通过DHCP Snooping表和IP静态绑定表,对非法IP报文进行过滤。

1. DHCP Snooping表

交换机启用DHCP Snooping功能后,会生成一个DHCP Snooping表,用来记录客户端从DHCP服务器获取的IP地址、客户端的MAC地址、客户端连接到DHCP Snooping设备的端口编号、以及该端口所属VLAN的编号等信息,每条记录为DHCP Snooping表中的一个表项。

2. IP静态绑定表

DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCP Snooping表记录,因此不能通过基于DHCP Snooping表项的IP过滤检查,导致用户无法正常访问外部网络。

为了能够让这些拥有合法固定IP地址的用户访问网络,交换机支持手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。以便顺利转发该用户的报文。

3. IP过滤方式

交换机对IP报文的两种过滤方式:

l              根据报文中的源IP地址进行过滤。如果报文的源IP地址、接收报文的交换机端口编号,与DHCP Snooping表或手工配置的IP静态绑定表表项一致,则认为该报文是合法的报文,直接转发;否则认为是非法报文,直接丢弃;

l              根据报文中的源IP地址和源MAC地址进行过滤。如果报文的源IP地址、源MAC地址、接收报文的交换机端口编号,与DHCP Snooping表或手工配置的IP静态绑定表表项一致,则认为该报文是合法的报文,直接转发;否则认为是非法报文,直接丢弃。

3.2  DHCP Snooping相关配置

3.2.1  配置DHCP Snooping功能

表3-3 配置DHCP Snooping功能

操作

命令

说明

进入系统视图

system-view

-

开启交换机DHCP Snooping功能

dhcp-snooping

必选

缺省情况下,交换机的DHCP Snooping功能处于关闭状态

进入以太网端口视图

interface interface-type interface-number

-

配置当前端口为DHCP Snooping信任端口

dhcp-snooping trust

必选

缺省情况下,开启DHCP Snooping功能后,设备的所有端口均为非信任端口

 

l    在E352&E328以太网交换机上开启DHCP Snooping功能后,不支持与之连接的客户端使用BOOTP方式动态获取IP地址。

l    为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。

l    在已经组成IRF Fabric的E352&E328交换机上开启DHCP Snooping特性时,请将Fabric中所有设备上的Fabric端口设定为DHCP Snooping信任端口,以保证各设备连接的用户均可以正常分配到IP地址。在这种情况下,请不要将连接DHCP客户端和DHCP服务器的端口配置在Fabric的不同Unit上,否则客户端虽可以正常获取IP地址,但交换机可能无法正常记录DHCP Snooping表项。

l    建议用户不要在交换机上同时配置DHCP Snooping功能和灵活QinQ功能,否则可能导致DHCP Snooping功能无法正常使用。

 

3.2.2  配置DHCP Snooping支持Option 82功能

配置DHCP Snooping支持Option 82功能之前,需要先开启交换机的DHCP Snooping功能,并配置信任端口。

 

表3-4 DHCP Snooping支持Option 82配置任务简介

配置任务

说明

详细配置

开启DHCP Snooping支持Option 82功能

必选

3.2.2  1.

配置DHCP Snooping支持Option 82策略

可选

3.2.2  2.

配置Option 82字段的存储格式

可选

3.2.2  3.

配置Option 82中Circuit ID的内容

可选

3.2.2  4.

配置Option 82中Remote ID的内容

可选

3.2.2  5.

配置Option 82字段的填充格式

可选

3.2.2  6.

 

1. 开启DHCP Snooping支持Option 82功能

表3-5 开启DHCP Snooping支持Option 82功能

操作

命令

说明

进入系统视图

system-view

-

开启DHCP Snooping支持Option 82功能

dhcp-snooping information enable

必选

缺省情况下,DHCP Snooping支持Option 82功能处于关闭状态

 

2. 配置DHCP Snooping支持Option 82策略

表3-6 配置DHCP Snooping支持Option 82策略

操作

命令

说明

进入系统视图

system-view

-

对所有端口接收的包含Option 82选项请求报文配置全局处理策略

dhcp-snooping information strategy { drop | keep | replace }

可选

缺省情况下,DHCP Snooping对带有Option 82选项的请求报文的处理策略为replace

进入以太网端口视图

interface interface-type interface-number

-

对指定端口接收的包含Option 82选项请求报文配置端口处理策略

dhcp-snooping information strategy { drop | keep | replace }

可选

缺省情况下,DHCP Snooping对带有Option 82选项的请求报文的处理策略为replace

 

当同时配置了全局处理策略和指定端口的端口处理策略时,在该端口上优先使用端口处理策略进行处理,其它端口使用全局处理策略进行处理。

 

3. 配置Option 82的存储格式

E352&E328以太网交换机支持对Option 82的存储格式进行配置,可以为十六进制数串格式(HEX),或ASCII码格式。

表3-7 配置Option 82的存储格式

操作

命令

说明

进入系统视图

system-view

-

配置Option 82的存储格式

dhcp-snooping information format { hex | ascii }

可选

缺省情况下,交换机对Option 82的存储格式为hex

 

dhcp-snooping information format命令只对交换机默认填加的Option 82内容生效。如果用户通过命令配置了Circuit ID或Remote ID的内容,则相应子选项的存储格式为ASCII格式,不再受dhcp-snooping information format命令配置的约束。

 

4. 配置Option 82中Circuit ID的内容

表3-8 配置Option 82中Circuit ID的内容

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

配置Option 82中的Circuit ID的内容

dhcp-snooping information [ vlan vlan-id ] circuit-id string string

可选

缺省情况下,Option 82中Circuit ID的内容为接收DHCP客户端请求报文的端口所属VLAN的编号及端口索引

 

l    如果在端口视图下既配置了指定vlan vlan-id参数的Circuit ID的内容,又配置了未指定vlan vlan-id参数的Circuit ID的内容,则对于该端口下指定VLAN内的DHCP报文,优先使用该VLAN的Circuit ID配置内容进行处理,其他VLAN内的DHCP报文使用未配置VLAN参数的Circuit ID的内容进行处理。

l    在端口汇聚组中,本命令允许对汇聚主端口和成员端口进行分别配置,但添加Option 82信息时,以端口汇聚组中主端口上配置的Circuit ID内容为准。

l    在端口上配置Option 82中Circuit ID的内容,不会在端口汇聚时进行汇聚同步,也不支持IRF功能。

 

5. 配置Option 82中Remote ID的内容

配置Option 82中Remote ID的内容有两种方式。

l              系统视图下配置:对本设备所有端口生效。可以配置Option 82的内容为设备的系统名称或用户自定义的字符串,格式为ASCII。

l              端口视图下配置:只对设备的当前端口生效。配置内容为用户自定义的字符串,可以指定VLAN来进行配置,即对于属于不同VLAN的报文可以添加不同的配置规则,格式为ASCII。

表3-9 配置Option 82中Remote ID的内容

操作

命令

说明

进入系统视图

system-view

-

系统视图下,配置Option 82中Remote ID的内容

dhcp-snooping information remote-id { sysname | string string }

可选

缺省情况下,Option 82中的Remote ID的内容为接收DHCP客户端请求报文的DHCP Snooping设备的MAC地址

进入以太网端口视图

interface interface-type interface-number

-

以太网端口视图下,配置Option 82中的Remote ID的内容

dhcp-snooping information [ vlan vlan-id ] remote-id string string

可选

缺省情况下,Option 82中的Remote ID的内容为接收DHCP客户端请求报文的DHCP Snooping设备的MAC地址

 

l    如果同时在系统视图和端口视图下配置了Remote ID的内容,则在指定端口上优先使用端口配置内容进行处理,其它端口上使用全局配置内容进行处理。

l    如果在端口视图下既配置了指定vlan vlan-id参数的Remote ID的内容,又配置了未指定vlan vlan-id参数的Remote ID的内容,则对于该端口下指定VLAN内的DHCP报文,优先使用该VLAN的Remote ID配置内容进行处理,其他VLAN内的DHCP报文使用未配置VLAN参数的Remote ID的内容进行处理。

l    在端口汇聚组中,本命令允许对汇聚主端口和成员端口进行分别配置,但添加Option 82信息时,以端口汇聚组中主端口上配置的Remote ID内容为准。

l    在端口上配置Option 82中Remote ID的内容,不会在端口汇聚时进行汇聚同步,也不支持IRF功能。

 

6. 配置Option 82字段的填充格式

表3-10 配置Option 82字段的填充格式

操作

命令

说明

进入系统视图

system-view

-

配置Option 82字段的填充格式

dhcp-snooping information packet-format { extended | standard }

可选

缺省情况下,Option 82字段的填充格式为扩展格式

 

3.2.3  配置IP过滤功能

表3-11 配置IP过滤功能

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

开启IP过滤功能

ip check source ip-address [ mac-address ]

必选

缺省情况下,端口上的IP过滤功能处于关闭状态

配置IP静态绑定表项

ip source static binding ip-address ip-address [ mac-address mac-address ]

可选

缺省情况下,没有配置IP静态绑定表项

 

l    配置IP过滤功能之前,需要先开启交换机的DHCP Snooping功能,并配置信任端口。

l    请用户不要在汇聚组中的端口或Fabric端口上配置IP过滤功能。

l    如果某端口下开启IP过滤功能时,指定了mac-address参数,则此端口下配置的IP静态绑定表项必须指定mac-address mac-address参数,否则该固定IP地址的客户端发送的报文无法通过IP过滤检查。

l    E352&E328以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCP Snooping动态表项。具体表现在:如果手工配置的IP静态绑定表项中的IP地址与已存在的DHCP Snooping动态表项的IP地址相同,则覆盖DHCP Snooping动态表项的内容;如果先配置了IP静态绑定表项,再开启交换机的DHCP Snooping功能,则DHCP客户端不能通过该交换机获取到IP静态绑定表项中已经存在的IP地址。

l    在端口上配置的IP静态绑定表项,其所属VLAN为端口的缺省VLAN值。

 

3.3  DHCP Snooping配置显示

完成上述配置后,在任意视图下执行display命令,可以显示配置DHCP Snooping后的运行情况。通过查看显示信息,用户可以验证配置的效果。

表3-12 DHCP Snooping配置显示

操作

命令

说明

显示通过DHCP Snooping记录的用户IP地址和MAC地址的对应关系

display dhcp-snooping [ unit unit-id ]

display命令可在任意视图下执行

显示DHCP Snooping开启状态及信任端口信息

display dhcp-snooping trust

显示IP静态绑定表

display ip source static binding [ vlan vlan-id | interface interface-type interface-number ]

 

3.4  DHCP Snooping典型配置举例

3.4.1  DHCP Snooping支持Option 82配置举例

1. 组网需求

图3-6所示,Switch的端口Ethernet1/0/5与DHCP服务器端相连,端口Ethernet1/0/1、Ethernet1/0/2、Ethernet1/0/3分别与DHCP Client A、DHCP Client B、DHCP Client C相连。

l              在Switch上开启DHCP Snooping功能。

l              设置Switch上端口Ethernet1/0/5为DHCP Snooping信任端口。

l              在Switch上开启DHCP Snooping支持Option 82功能,且填充Option 82中Remote ID字段的内容为Switch的系统名称。对经过端口Ethernet1/0/3的属于VLAN 1的报文,填充Option 82中Circuit ID字段的内容为abcd。

2. 组网图

图3-6 配置DHCP Snooping支持Option 82功能组网图

 

3. 配置步骤

# 开启交换机DHCP Snooping功能。

<Switch> system-view

[Switch] dhcp-snooping

# 设置端口Ethernet1/0/5为DHCP Snooping信任端口。

[Switch] interface Ethernet1/0/5

[Switch-Ethernet1/0/5] dhcp-snooping trust

[Switch-Ethernet1/0/5] quit

# 开启DHCP Snooping支持Option 82功能。

[Switch] dhcp-snooping information enable

# 配置Option 82的Remote ID字段的内容为DHCP Snooping设备的系统名称。

[Switch] dhcp-snooping information remote-id sysname

# 在以太网端口Ethernet1/0/3上配置,对VLAN1内DHCP报文的Option 82中Circuit ID字段的内容填充为用户自定义内容abcd。

[Switch] interface Ethernet1/0/3

[Switch-Ethernet1/0/3] dhcp-snooping information vlan 1 circuit-id string abcd

3.4.2  IP过滤典型配置举例

1. 组网需求

图3-7所示,Switch的端口Ethernet1/0/1连接DHCP 服务器;端口Ethernet1/0/2连接Host A,Host A的IP地址为1.1.1.1,MAC地址为0001-0001-0001;端口Ethernet1/0/3和端口Ethernet1/0/4连接DHCP Client B和DHCP Client C。

l              在Switch上开启DHCP Snooping功能,并设置端口Ethernet1/0/1为DHCP Snooping信任端口。

l              在Switch的端口Ethernet1/0/2,Ethernet1/0/3,Ethernet1/0/4上开启IP过滤功能,防止客户端使用伪造的不同源IP地址对服务器进行攻击。

l              在Switch上配置IP静态绑定表项,保证使用固定IP地址的客户端Host A正常访问外部网络。

2. 组网图

图3-7 配置IP过滤组网图

 

3. 配置步骤

# 开启交换机DHCP Snooping功能。

<Switch> system-view

[Switch] dhcp-snooping

# 设置端口Ethernet1/0/1为信任端口。

[Switch] interface Ethernet1/0/1

[Switch-Ethernet1/0/1] dhcp-snooping trust

[Switch-Ethernet1/0/1] quit

# 分别启用端口Ethernet1/0/2,Ethernet1/0/3和Ethernet1/0/4的IP过滤功能,根据端口接收的IP报文的源IP地址/源MAC地址对报文进行过滤。

[Switch] interface Ethernet1/0/2

[Switch-Ethernet1/0/2] ip check source ip-address mac-address

[Switch-Ethernet1/0/2] quit

[Switch] interface Ethernet1/0/3

[Switch-Ethernet1/0/3] ip check source ip-address mac-address

[Switch-Ethernet1/0/3] quit

[Switch] interface Ethernet1/0/4

[Switch-Ethernet1/0/4] ip check source ip-address mac-address

[Switch-Ethernet1/0/4] quit

# 在Switch的端口Ethernet1/0/2上配置IP静态绑定表项。

[Switch] interface Ethernet1/0/2

[Switch-Ethernet1/0/2] ip source static binding ip-address 1.1.1.1 mac-address 0001-0001-0001

 


4 DHCP报文限速配置

4.1  DHCP报文限速简介

为了防止ARP攻击和伪DHCP服务器攻击,需要将ARP报文和DHCP报文上送到CPU处理,判断报文的合法性。但是,这样引入了新的问题:如果恶意用户发送大量ARP报文或DHCP报文攻击设备,会导致CPU处理负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。

E352&E328以太网交换机支持端口上ARP报文、DHCP报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对设备CPU的冲击。ARP报文限速功能请参见本手册的“ARP”部分,本章只介绍DHCP报文限速功能。

开启以太网端口的DHCP报文限速功能后,交换机对每秒内该端口接收的DHCP报文数量进行统计,如果每秒收到的DHCP报文数量超过设定值,则认为该端口处于超速状态(即受到DHCP报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免设备受到大量DHCP报文攻击而瘫痪。

同时,设备支持配置端口状态自动恢复功能,对于配置了DHCP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。

E352&E328以太网交换机设置了自动恢复功能,方便用户恢复超速端口。当端口同时设置ARP报文超速恢复时间和DHCP报文超速恢复时间时,以两者中的最短时间作为端口报文超速恢复时间。

 

4.2  配置DHCP报文限速功能

表4-1 配置DHCP报文限速功能

操作

命令

说明

进入系统视图

system-view

-

进入端口视图

interface interface-type interface-number

-

开启DHCP报文限速功能

dhcp rate-limit enable

必选

缺省情况下,端口的DHCP报文限速功能处于关闭状态

配置允许通过端口的DHCP报文的最大速率

dhcp rate-limit rate

可选

缺省情况下,端口能通过的DHCP报文的最大速率为15pps

开启端口状态自动恢复功能

dhcp protective-down recover enable

可选

缺省情况下,交换机的端口状态自动恢复功能处于关闭状态

设置端口状态自动恢复时间

dhcp protective-down recover interval interval

可选

缺省情况下,交换机的端口状态自动恢复时间为300秒

 

l    用户必须先开启交换机的端口状态自动恢复功能,才能设置端口状态自动恢复的时间。

l    建议用户不要在汇聚组中的端口上配置DHCP报文限速功能。

 

4.3  DHCP报文限速典型配置举例

1. 组网需求

图4-1所示,以太网交换机Switch(E352&E328)的端口Ethernet1/0/1与DHCP服务器端相连,端口Ethernet1/0/2与Client B相连,端口Ethernet1/0/11与Client A相连;

l              在Switch上开启DHCP Snooping功能,并设置端口Ethernet1/0/1为DHCP Snooping信任端口。

l              在端口Ethernet1/0/11上配置DHCP报文限速,并设置能通过的DHCP报文的最大速率为100pps;

l              配置Switch上DHCP报文超速恢复时间为30秒。

2. 典型组网图

图4-1 配置DHCP报文限速组网图

 

3. 配置步骤

# 开启交换机DHCP Snooping功能。

<Switch> system-view

[Switch] dhcp-snooping

# 设置端口Ethernet1/0/1为信任端口。

[Switch] interface Ethernet1/0/1

[Switch-Ethernet1/0/1] dhcp-snooping trust

[Switch-Ethernet1/0/1] quit

# 开启DHCP报文超速恢复功能。

[Switch] dhcp protective-down recover enable

# 设置DHCP报文超速恢复时间为30秒。

[Switch] dhcp protective-down recover interval 30

# 进入Ethernet1/0/11端口视图。

[Switch] interface Ethernet 1/0/11

# 开启Ethernet1/0/11端口的DHCP报文限速功能。

[Switch-Ethernet1/0/11] dhcp rate-limit enable

# 设置Ethernet1/0/11端口能通过的DHCP报文的最大速率为100pps。

[Switch-Ethernet1/0/11] dhcp rate-limit 100

 


5 DHCP/BOOTP客户端配置

5.1  DHCP客户端简介

指定设备的VLAN接口作为DHCP客户端后,可以使用DHCP协议从DHCP服务器动态获得IP地址等参数,方便用户配置,也便于集中管理。

客户端通过DHCP方式动态获取IP地址的过程请参见“1.2.2  IP地址动态获取过程”部分。

5.2  BOOTP客户端简介

BOOTP是BOOTstrap Protocol(自举协议)的简称。指定设备的接口作为BOOTP客户端后,该接口可以使用BOOTP协议从BOOTP服务器获得IP地址等信息,从而方便用户配置。

使用BOOTP协议,管理员需要在BOOTP服务器上为每个BOOTP客户端配置BOOTP参数文件,该文件包括BOOTP客户端的MAC地址及其对应的IP地址等信息。当BOOTP客户端向BOOTP服务器发起请求时,服务器会查找BOOTP参数文件,并返回相应的配置信息。

BOOTP客户端从BOOTP服务器动态获取IP地址的具体过程如下:

(1)        BOOTP客户端以广播方式发送BOOTP请求报文,其中包含了BOOTP客户端的MAC地址;

(2)        BOOTP服务器接收到请求报文后,根据报文中的BOOTP客户端MAC地址,从配置文件数据库中查找对应的IP地址等信息,并向客户端返回包含这些信息的BOOTP响应报文;

(3)        BOOTP客户端从接收到的响应报文中即可获得IP地址等信息。

由于DHCP服务器可以与BOOTP客户端进行交互,因此用户可以不配置BOOTP服务器,而使用DHCP服务器为BOOTP客户端分配IP地址。

 

5.3  DHCP/BOOTP客户端配置

表5-1 配置DHCP/BOOTP客户端

操作

命令

说明

进入系统视图

system-view

-

进入VLAN接口视图

interface Vlan-interface vlan-id

-

配置VLAN接口采用DHCP或BOOTP方式获取IP地址

ip address { bootp-alloc | dhcp-alloc }

必选

缺省情况下,VLAN接口无IP地址

 

l    目前E352&E328以太网交换机作为DHCP客户端,可以持续占用一个IP地址的最长时间为24天。也就是说,即使DHCP服务器端地址池的租约时间长于24天,DHCP客户端也只能获取24天的租期。

l    若交换机处于IRF系统中,要在交换机的VLAN接口上通过DHCP动态获取IP地址时,必须保证交换机上已经开启了UDP Helper功能。

 

&  说明:

E352&E328以太网交换机为防止恶意用户对未使用SOCKET的攻击,提高交换机的安全性,提供了如下功能:

l    在启动DHCP功能时,才打开DHCP使用的UDP 67和UDP 68端口。

l    在关闭DHCP功能时,同时关闭UDP 67和UDP 68端口。

具体的实现是:

l    执行ip address dhcp-alloc命令启动DHCP客户端功能时,才打开DHCP使用的UDP 68端口。

l    执行undo ip address dhcp-alloc命令关闭DHCP客户端功能时,同时关闭UDP 68端口。

 

5.3.1  DHCP客户端配置举例

1. 组网需求

Switch A的端口(属于VLAN1)接入局域网,VLAN接口1通过DHCP协议从DHCP服务器获取IP地址。

2. 组网图

图5-1 DHCP组网图

 

3. 配置步骤

下面只列出图5-1中,作为DHCP客户端的Switch A的配置。

# 配置Vlan-interface1通过DHCP动态获取地址。

<SwitchA> system-view

[SwitchA] interface Vlan-interface 1

[SwitchA-Vlan-interface1] ip address dhcp-alloc

5.3.2  BOOTP客户端典型配置举例

1. 组网需求

Switch A的端口(属于VLAN1)接入局域网,VLAN接口1通过BOOTP协议从DHCP服务器获取IP地址。

2. 组网图

图5-1所示。

3. 配置步骤

下面只列出图5-1中,作为客户端的Switch A的配置。

# 配置VLAN接口1通过BOOTP动态获取地址。

<SwitchA> system-view

[SwitchA] interface vlan-interface 1

[SwitchA-Vlan-interface1] ip address bootp-alloc

5.4  DHCP/BOOTP客户端显示

表5-2 DHCP/BOOTP客户端显示

操作

命令

说明

查看DHCP客户端的相关信息

display dhcp client [ verbose ]

可选

display命令可以在任意视图下执行

查看BOOTP客户端的相关信息

display bootp client [ interface Vlan-interface vlan-id ]

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们