18-DHCP操作
本章节下载 (482.58 KB)
目 录
4.1.3 DHCP Snooping支持Option 82功能
4.3 配置DHCP Snooping支持Option 82功能
4.3.2 配置DHCP Snooping支持Option 82功能
随着网络规模的不断扩大和网络复杂度的提高,计算机的数量经常超过可供分配的IP地址数量。同时随着便携机及无线网络的广泛使用,计算机的位置也经常变化,相应的IP地址也必须经常更新,从而导致网络配置越来越复杂。DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)就是为解决这些问题而发展起来的。
DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机),如图1-1所示。
图1-1 DHCP典型应用
& 说明:
针对客户端的不同需求,DHCP提供三种IP地址分配策略:
l 手工分配地址:由管理员为少数特定客户端(如WWW服务器等)静态绑定固定的IP地址。通过DHCP将配置的固定IP地址发给客户端。
l 自动分配地址:DHCP为客户端分配租期为无限长的IP地址。
l 动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,到达使用期限后,客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。
图1-2 IP地址动态获取过程
如图1-2所示,DHCP客户端从DHCP服务器动态获取IP地址,主要通过四个阶段进行:
(1) 发现阶段,即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCP-DISCOVER报文。
(2) 提供阶段,即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端的DHCP-DISCOVER报文后,根据IP地址分配的优先次序选出一个IP地址,与其他参数一起通过DHCP-OFFER报文发送给客户端。DHCP-OFFER报文的发送方式由DHCP-DISCOVER报文中的flag字段决定,具体请参见“1.3 DHCP报文格式”的介绍。
(3) 选择阶段,即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文,客户端只接受第一个收到的DHCP-OFFER报文,然后以广播方式发送DHCP-REQUEST报文,该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。
(4) 确认阶段,即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后,只有DHCP客户端选择的服务器会进行如下操作:如果确认将地址分配给该客户端,则返回DHCP-ACK报文;否则返回DHCP-NAK报文,表明地址不能分配给该客户端。
& 说明:
l 客户端收到服务器返回的DHCP-ACK确认报文后,会以广播的方式发送免费ARP报文,探测是否有主机使用服务器分配的IP地址,如果在规定的时间内没有收到回应,客户端才使用此地址。否则,客户端会发送DHCP-DECLINE报文给DHCP服务器,并重新申请IP地址。
l 如果网络中存在多个DHCP服务器,除DHCP客户端选中的服务器外,其它DHCP服务器中本次未分配出的IP地址仍可分配给其他客户端。
如果采用动态地址分配策略,则DHCP服务器分配给客户端的IP地址有一定的租借期限,当租借期满后服务器会收回该IP地址。如果DHCP客户端希望延长使用该地址的期限,需要更新IP地址租约。
在DHCP客户端的IP地址租约期限达到一半时间时,DHCP客户端会向为它分配IP地址的DHCP服务器单播发送DHCP-REQUEST报文,以进行IP租约的更新。如果客户端可以继续使用此IP地址,则DHCP服务器回应DHCP-ACK报文,通知DHCP客户端已经获得新IP租约;如果此IP地址不可以再分配给该客户端,则DHCP服务器回应DHCP-NAK报文,通知DHCP客户端不能获得新的租约。
如果在租约的一半时间进行的续约操作失败,DHCP客户端会在租约期限达到7/8时,广播发送DHCP-REQUEST报文进行续约。DHCP服务器的处理方式同上,不再赘述。
DHCP有8种类型的报文,每种报文的格式相同,只是某些字段的取值不同。DHCP报文格式基于BOOTP的报文格式,具体格式如图1-3所示(括号中的数字表示该字段所占的字节)。
图1-3 DHCP报文格式
各字段的解释如下:
l op:报文的操作类型,分为请求报文和响应报文,1为请求报文;2为响应报文。具体的报文类型在option字段中标识。
l htype、hlen:DHCP客户端的硬件地址类型及长度。
l hops:DHCP报文经过的DHCP中继的数目。DHCP请求报文每经过一个DHCP中继,该字段就会增加1。
l xid:客户端发起一次请求时选择的随机数,用来标识一次地址请求过程。
l secs:DHCP客户端开始DHCP请求后所经过的时间。目前没有使用,固定为0。
l flags:第一个比特为广播响应标识位,用来标识DHCP服务器响应报文是采用单播还是广播方式发送,0表示采用单播方式,1表示采用广播方式。其余比特保留不用。
l ciaddr:DHCP客户端的IP地址。
l yiaddr:DHCP服务器分配给客户端的IP地址。
l siaddr:DHCP客户端获取IP地址等信息的服务器IP地址。
l giaddr:DHCP客户端发出请求报文后经过的第一个DHCP中继的IP地址。
l chaddr:DHCP客户端的硬件地址。
l sname:DHCP客户端获取IP地址等信息的服务器名称。
l file:DHCP服务器为DHCP客户端指定的启动配置文件名称及路径信息。
l option:可选变长选项字段,包含报文的类型、有效租期、DNS服务器的IP地址、WINS服务器的IP地址等配置信息。
为了与BOOTP(Bootstrap Protocol,自举协议)兼容,DHCP保留了BOOTP的消息格式。DHCP和BOOTP消息的不同主要体现在选项(Option)字段。DHCP在BOOTP基础上增加的功能,通过Option字段来实现。
DHCP利用Option字段传递控制信息和网络配置参数,实现地址的动态分配,为客户端提供更加丰富的网络配置信息。
DHCP选项的格式如图1-4所示。
图1-4 DHCP选项格式
常见的DHCP选项有:
l Option 6:DNS服务器选项,用来指定为客户端分配的DNS服务器地址。
l Option 51:IP地址租约选项。
l Option 53:DHCP消息类型选项,标识DHCP消息的类型。
l Option 55:请求参数列表选项。客户端利用该选项指明需要从服务器获取哪些网络配置参数。该选项内容为客户端请求的参数对应的选项值。
l Option 66:TFTP服务器名选项,用来指定为客户端分配的TFTP服务器的域名。
l Option 67:启动文件名选项,用来指定为客户端分配的启动文件名。
l Option 150:TFTP服务器地址选项,用来指定为客户端分配的TFTP服务器的地址。
更多DHCP选项的介绍,请参见RFC 2132。
有些选项的内容,RFC 2132中没有统一规定。下面将介绍设备上定义的几种选项格式。
Option 82称为中继代理信息选项,该选项记录了DHCP客户端的位置信息。DHCP中继接收到DHCP客户端发送给DHCP服务器的请求报文后,在该报文中添加Option 82,并转发给DHCP服务器。
管理员可以从Option 82中获得DHCP客户端的位置信息,以便定位DHCP客户端,实现对客户端的安全和计费等控制。支持Option 82的服务器还可以根据该选项的信息制订IP地址和其他参数的分配策略,提供更加灵活的地址分配方案。
Option 82最多可以包含255个子选项。若定义了Option 82,则至少要定义一个子选项。目前设备只支持两个子选项:sub-option 1(Circuit ID,电路ID子选项)和sub-option 2(Remote ID,远程ID子选项)。
由于Option 82的内容没有统一规定,不同厂商通常根据需要进行填充。目前设备支持两种填充格式:normal格式和verbose格式。对应这两种填充格式,子选项的内容如下:
(1) 采用normal格式填充
l sub-option 1的内容是接收到DHCP客户端请求报文的端口属于的VLAN ID以及端口编号。如图1-5所示,子选项类型值为1,电路ID类型值为0。
图1-5 normal填充格式的sub-option 1
l sub-option 2的内容是接收到DHCP客户端请求报文的接口MAC地址。如图1-6所示,子选项类型值为2,远程ID类型值为0。
图1-6 normal填充格式的sub-option 2
(2) 采用verbose格式填充
l sub-option 1的内容包括用户配置的接入节点标识(在报文中添加Option 82的设备的标识)、接收到DHCP客户端请求报文的端口类型、端口号和VLAN ID,如图1-7所示。
图1-7 verbose填充格式的sub-option 1
& 说明:
图1-7中除VLAN ID固定为两字节外,其他sub-option 1的填充内容均为可变长度。
l sub-option 2的内容是接收到DHCP客户端请求报文的接口MAC地址。verbose和normal填充格式的sub-option 2内容相同,如图1-6所示。
Option 184是RFC中规定的保留选项,用户可以自定义该选项中携带的信息。设备上,Option 184携带了语音呼叫所需的信息。通过Option 184,可以实现在为具有语音功能的DHCP客户端分配IP地址的同时,为客户端提供语音呼叫相关信息。
目前Option 184支持四个子选项,承载的内容如下:
l sub-option 1,网络呼叫处理器的IP地址:用来标识作为网络呼叫控制源及应用程序下载的服务器。
l sub-option 2,备用服务器的IP地址:当sub-option 1中携带的网络呼叫处理器不可达或不合法时,DHCP客户端使用该选项指定的备用服务器作为网络呼叫处理器。
l sub-option 3,语音VLAN信息:指定语音VLAN的ID及DHCP客户端是否会将所指定的VLAN ID作为语音VLAN。
l sub-option 4,自动故障转移呼叫路由:指定故障转移呼叫路由的IP地址及其关联的拨号串,即SIP(Session Initiation Protocol,会话初始化协议)用户之间互相通信时对端的IP地址和呼叫号码。当网络呼叫处理器和备用服务器均不可达时,SIP用户可以使用对端IP地址及呼叫号码直接与对端SIP用户建立连接并通信。
& 说明:
只有定义了sub-option 1(网络呼叫处理器的IP地址子选项),其他子选项才能生效。
与DHCP相关的协议规范有:
l RFC 2131:Dynamic Host Configuration Protocol
l RFC 2132:DHCP Options and BOOTP Vendor Extensions
l RFC 1542:Clarifications and Extensions for the Bootstrap Protocol
l RFC 3046:DHCP Relay Agent Information Option
& 说明:
l DHCP中继中对于接口的相关配置,目前只能在VLAN接口上进行。
l DHCP中继上不能配置DHCP Snooping功能。
由于在IP地址动态获取过程中采用广播方式发送报文,因此DHCP只适用于DHCP客户端和服务器处于同一个子网内的情况。为进行动态主机配置,需要在所有网段上都设置一个DHCP服务器,这显然是很不经济的。
DHCP中继功能的引入解决了这一难题:客户端可以通过DHCP中继与其他网段的DHCP服务器通信,最终获取到IP地址。这样,多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。
图2-1是DHCP中继的典型应用示意图。
图2-1 DHCP中继的典型组网应用
通过DHCP中继完成动态配置的过程中,DHCP客户端与DHCP服务器的处理方式与不通过DHCP中继时的处理方式基本相同。下面只说明DHCP中继的转发过程,报文的具体交互过程请参见“1.2.2 IP地址动态获取过程”。
图2-2 DHCP中继的工作过程
如图2-2所示,DHCP中继的工作过程为:
(1) 具有DHCP中继功能的网络设备收到DHCP客户端以广播方式发送的DHCP-DISCOVER或DHCP-REQUEST报文后,将报文中的giaddr字段填充为DHCP中继的IP地址,并根据配置将报文单播转发给指定的DHCP服务器。
(2) DHCP服务器根据giaddr字段为客户端分配IP地址等参数,并通过DHCP中继将配置信息转发给客户端,完成对客户端的动态配置。
Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option 82的详细介绍请参见“1.4.3 1. 中继代理信息选项(Option 82)”。
如果DHCP中继支持Option 82功能,则当DHCP中继接收到DHCP请求报文后,将根据报文中是否包含Option 82以及用户配置的处理策略及填充格式对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。具体的处理方式见表2-1。
如果DHCP中继收到的响应报文中带有Option 82,则会将Option 82删除后再转发给DHCP客户端。
表2-1 DHCP中继支持Option 82的处理方式
收到DHCP请求报文 |
处理策略 |
填充格式 |
DHCP中继对报文的处理 |
收到的报文中带有Option 82 |
Drop |
任意 |
丢弃报文 |
Keep |
任意 |
保持报文中的Option 82不变并进行转发 |
|
Replace |
normal |
采用normal格式填充Option 82,替换报文中原有的Option 82并进行转发 |
|
verbose |
采用verbose格式填充Option 82,替换报文中原有的Option 82并进行转发 |
||
收到的报文中不带有Option 82 |
- |
normal |
采用normal格式填充Option 82并进行转发 |
- |
verbose |
采用verbose格式填充Option 82并进行转发 |
表2-2 DHCP中继配置任务简介
配置任务 |
说明 |
详细配置 |
使能DHCP服务 |
必选 |
|
配置接口工作在DHCP中继模式 |
必选 |
|
配置DHCP服务器组 |
必选 |
|
配置通过DHCP中继释放客户端的IP地址 |
可选 |
|
配置DHCP中继的安全功能 |
可选 |
|
配置DHCP中继支持Option 82功能 |
可选 |
只有使能DHCP服务后,其它相关的DHCP配置才能生效。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能DHCP服务 |
dhcp enable |
必选 缺省情况下,DHCP服务处于禁止状态 |
配置接口工作在中继模式后,当接口收到DHCP客户端发来的DHCP报文时,会将报文转发给DHCP服务器,由服务器分配地址。
表2-4 配置接口工作在DHCP中继模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口工作在DHCP中继模式 |
dhcp select relay |
必选 缺省情况下,使能DHCP服务后,接口工作在DHCP服务器模式 |
& 说明:
DHCP客户端通过DHCP中继获取IP地址时,DHCP服务器上需要配置与DHCP中继的IP地址所在网段(网络号和掩码)完全相同的地址池,否则会导致DHCP客户端无法获得正确的IP地址。
为了提高可靠性,可以在一个网络中设置多个DHCP服务器。多个DHCP服务器构成一个DHCP服务器组。当接口与DHCP服务器组建立归属关系后,会将客户端发来的DHCP报文转发给服务器组中的所有服务器。
表2-5 配置DHCP服务器组
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置DHCP服务器组中DHCP服务器的IP地址 |
dhcp relay server-group group-id ip ip-address |
必选 缺省情况下,没有配置DHCP服务器组中服务器的IP地址 |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口与DHCP服务器组的归属关系 |
dhcp relay server-select group-id |
必选 缺省情况下,接口没有与任何一个DHCP服务器组建立归属关系 |
& 说明:
l 设备上最多可以配置20个DHCP服务器组。每个DHCP服务器组最多可以配置8个DHCP服务器地址。
l DHCP服务器组中服务器的IP地址不能与DHCP中继的接口IP地址在同一网段。否则,可能导致客户端无法获得IP地址。
l 每个DHCP服务器组可以对应多个接口。但每个接口只能对应一个DHCP服务器组。在同一接口下多次执行dhcp relay server-select命令,新的配置会覆盖已有配置。但是,如果新指定的DHCP服务器组不存在时,新的归属关系配置不成功,接口还是维持与上一次配置的DHCP服务器组的归属关系。
l dhcp relay server-select命令中所指定的组号,需事先通过dhcp relay server-group命令进行配置。
在某些情况下,可能需要通过DHCP中继手工释放客户端申请到的IP地址。配置通过DHCP中继释放客户端的IP地址后,DHCP中继会主动向DHCP服务器发送DHCP-RELEASE报文,DHCP服务器收到该报文后,将会释放指定IP地址的租约。
表2-6 配置通过DHCP中继释放客户端的IP地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
向DHCP服务器请求释放客户端申请到的IP地址 |
dhcp relay release ip client-ip |
必选 |
当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与MAC地址的绑定关系,生成DHCP中继的动态用户地址表项。同时,为满足用户采用合法固定IP地址访问外部网络的需求,DHCP中继也支持静态用户地址表项配置,即在DHCP中继上手工配置IP地址与MAC地址的绑定关系。
为了防止非法主机静态配置一个IP地址并访问其他网络,设备支持DHCP中继的地址匹配检查功能。接口上使能该功能后,如果在DHCP中继的用户地址表中(包括DHCP中继动态记录的表项以及手工配置的用户地址表项)没有与主机IP地址和主机MAC地址匹配的表项,则该主机将不能通过DHCP中继访问外部网络。
表2-7 配置DHCP中继的地址匹配检查功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置DHCP中继的静态用户地址表项 |
dhcp relay security static ip-address mac-address [ interface interface-type interface-number ] |
可选 缺省情况下,没有配置DHCP中继的静态用户地址表项 |
进入接口视图 |
interface interface-type interface-number |
- |
配置DHCP中继的地址匹配检查功能 |
dhcp relay address-check { disable | enable } |
必选 缺省情况,禁止DHCP中继的地址匹配检查功能 |
& 说明:
l DHCP中继的地址匹配检查功能与DHCP中继的其他配置无直接关系。即只要执行了dhcp relay address-check enable命令,地址匹配检查功能就可以生效,不需要配置DHCP中继的其他功能,如使能DHCP、配置接口工作在DHCP中继模式等。
l 建议只在工作于DHCP中继模式的接口上配置地址匹配检查功能。否则,可能会导致合法的用户无法访问网络。
l 通过dhcp relay security static命令配置静态用户地址表项时,如果静态用户地址表项与VLAN接口绑定,配置的VLAN接口必须工作在DHCP中继模式,否则可能引起地址表项冲突。
当DHCP客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继会记录IP地址与MAC地址的绑定关系。由于DHCP客户端释放该IP地址时,会给DHCP服务器发送单播DHCP-RELEASE报文,DHCP中继不会处理该DHCP报文的内容,造成DHCP中继的用户地址项不能被实时刷新。为了解决这个问题,DHCP中继支持动态用户地址表项的定时刷新功能。
每隔指定时间,DHCP中继以客户端分配到的IP地址和DHCP中继接口的MAC地址向DHCP服务器发送DHCP-REQUEST报文:
l 如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内没有接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会将动态用户地址表中对应的表项老化掉;
l 如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会老化该IP地址对应的表项。
表2-8 配置DHCP中继动态用户地址表项定时刷新周期
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置DHCP中继动态用户地址表项的定时刷新周期 |
dhcp relay security tracker { interval | auto } |
可选 缺省情况下,定时刷新周期为auto,即根据表项的数目自动计算刷新时间间隔 |
如果网络中有私自架设的DHCP服务器,当客户端申请IP地址时,这台DHCP服务器就会与DHCP客户端进行交互,导致客户端获得错误的IP地址,这种私设的DHCP服务器称为伪DHCP服务器。
使能伪DHCP服务器检测功能后,DHCP中继会从接收到的DHCP报文中获取给客户端分配IP地址的服务器IP地址,并记录此IP地址及接收到报文的接口信息,以便管理员及时发现并处理伪DHCP服务器。
表2-9 配置伪DHCP服务器检测功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能伪DHCP服务器检测功能 |
dhcp relay server-detect |
必选 缺省情况下,禁止伪DHCP服务器检测功能 |
& 说明:
l 使能伪DHCP服务器检测功能后,对所有DHCP服务器都会进行记录,包括合法的DHCP服务器,管理员需要从日志信息中查找伪DHCP服务器。
l 使能伪DHCP服务器检测功能后,对每个DHCP服务器只记录一次。记录的DHCP服务器信息被清除后,将重新记录。
在配置DHCP中继支持Option82功能之前,需完成DHCP中继的必配任务,即:
l 使能DHCP服务
l 配置接口工作在DHCP中继模式
l 配置DHCP服务器组
表2-10 配置DHCP中继支持Option 82功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置DHCP中继支持Option 82功能 |
dhcp relay information enable |
必选 缺省情况下,DHCP中继不支持Option 82功能 |
配置DHCP中继对包含Option 82的请求报文的处理策略 |
dhcp relay information strategy { drop | keep | replace } |
可选 缺省情况下,处理策略为replace |
配置Option 82的填充格式 |
dhcp relay information format { normal | verbose [ node-identifier { mac | sysname | user-defined node-identifier } ] } |
可选 缺省情况下,Opiton 82的填充格式为normal |
& 说明:
l 为使Option 82功能正常使用,需要在DHCP服务器和DHCP中继上都进行相应配置。由于作为DHCP服务器的设备不同,所需进行的配置也不同,故此处从略。
l DHCP中继对包含Option 82请求报文的处理策略为replace时,需要配置Option 82的填充格式;处理策略为keep或drop时,不需要配置Option 82的填充格式。
l 如果以节点的设备名称(sysname)作为节点标识填充DHCP报文的Option 82,则设备名称中不能包含空格;否则,DHCP中继将丢弃该报文。
在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCP中继的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令清除DHCP中继的统计信息。
表2-11 DHCP中继显示和维护
操作 |
命令 |
显示接口对应的DHCP服务器组的信息 |
display dhcp relay { all | interface interface-type interface-number } |
显示DHCP中继的用户地址表项信息 |
display dhcp relay security [ ip-address | dynamic | static ] |
显示DHCP中继用户地址表项的统计信息 |
display dhcp relay security statistics |
显示DHCP中继动态用户地址表项的定时刷新周期 |
display dhcp relay security tracker |
显示DHCP服务器组中服务器的IP地址。 |
display dhcp relay server-group { group-id | all } |
显示DHCP中继的相关报文统计信息 |
display dhcp relay statistics [ server-group { group-id | all } ] |
清除DHCP中继的统计信息 |
reset dhcp relay statistics [ server-group group-id ] |
l 具有DHCP中继功能的Switch A通过端口(属于VLAN1)连接到DHCP客户端所在的网络,交换机VLAN接口1的IP地址为10.10.1.1/24,VLAN接口2的IP地址为10.1.1.2/24;
l DHCP服务器的IP地址为10.1.1.1/24;
l 通过Switch A转发DHCP报文,DHCP客户端可以从DHCP服务器上申请到10.10.1.0/24网段的IP地址及相关配置信息。
图2-3 DHCP中继组网示意图
# 使能DHCP服务。
<SwitchA> system-view
[SwitchA] dhcp enable
# 配置VLAN接口1工作在DHCP中继模式。
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] dhcp select relay
[SwitchA-Vlan-interface1] quit
# 配置DHCP服务器的地址,并配置VLAN接口1对应DHCP服务器组1。
[SwitchA] dhcp relay server-group 1 ip 10.1.1.1
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] dhcp relay server-select 1
& 说明:
l 为了使DHCP客户端能从DHCP服务器获得IP地址,还需要在DHCP服务器上进行一些配置。由于作为DHCP服务器的设备不同,所需进行的配置也不同,故此处从略。
l 如果DHCP中继与DHCP服务器不在同一网段,则两者之间必须有路由可达。
客户端不能通过DHCP中继获得配置信息。
DHCP中继或DHCP服务器的的配置可能有问题。可以打开调试开关显示调试信息,并通过执行display命令显示接口状态信息的方法来分析定位。
l 检查DHCP服务器和DHCP中继是否使能了DHCP服务。
l 检查DHCP服务器是否配置有DHCP客户端所在网段的地址池。
l 检查具有DHCP中继功能的网络设备和DHCP服务器是否配置有相互可达的路由。
l 检查具有DHCP中继功能的网络设备是否在连接DHCP客户端所在网段的接口上配置有正确的DHCP服务器组,且DHCP服务器组的IP地址配置正确。
& 说明:
l DHCP客户端中对于接口的相关配置,目前只能在VLAN接口上进行。
l 多个具有相同MAC地址的VLAN接口通过中继以DHCP方式申请IP地址时,不能用Windows 2000 Server和Windows 2003 Server作为DHCP服务器。
l 建议不要在同一台设备上同时配置DHCP客户端和DHCP Snooping功能,否则可能无法生成DHCP Snooping表项,DHCP客户端也可能申请不到IP地址。
指定设备的接口作为DHCP客户端后,可以使用DHCP协议从DHCP服务器动态获得IP地址等参数,方便用户配置,也便于集中管理。
S5500-SI系列以太网交换机在发送DHCP请求时提供的厂商及设备信息(Option 60字段)由交换机的应用程序决定的,用户不能配置。具体添加内容如表所示。
表3-1 S5500-SI系列以太网交换机在DHCP Option60中添加的信息
产品型号 |
Option60中的厂商与设备信息 |
S5500-28C-SI以太网交换机 |
H3C. H3C S5500-28C-SI |
S5500-52C-SI以太网交换机 |
H3C. H3C S5500-52C-SI |
S5500-28C-PWR-SI以太网交换机 |
H3C. H3C S5500-28C-PWR-SI |
S5500-52C-PWR-SI以太网交换机 |
H3C. H3C S5500-52C-PWR-SI |
表3-2 配置接口使用DHCP方式获取IP地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口使用DHCP方式获取IP地址 |
ip address dhcp-alloc [ client-identifier mac interface-type interface-number ] |
必选 缺省情况下,接口不使用DHCP方式获取IP地址 |
& 说明:
l 接口可以采用多种方式获得IP地址,但不同方式是互斥的,新的配置方式会覆盖原有的配置方式。
l 当接口被配置为通过DHCP动态获取IP地址后,不能再给该接口配置从IP地址。
l 如果DHCP服务器为接口分配的IP地址与设备上其他接口的IP地址在同一网段,则该接口不再向DHCP服务器申请IP地址,除非手动删除冲突接口的IP地址,并重新使能接口(先后执行shutdown和undo shutdown命令)或重新配置接口使用DHCP方式获取IP地址(先后执行undo ip address dhcp-alloc和ip address dhcp-alloc命令)。
在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCP客户端的信息,通过查看显示信息验证配置的效果。
表3-3 DHCP客户端显示和维护
操作 |
命令 |
显示DHCP客户端的相关信息 |
display dhcp client [ verbose ] [ interface interface-type interface-number ] |
Switch A的端口(属于VLAN1)接入局域网,VLAN接口1通过DHCP协议从DHCP服务器获取IP地址。
图3-1 DHCP客户端典型组网
下面只列出作为客户端的SwitchA的配置。
# 配置VLAN接口1通过DHCP动态获取地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] ip address dhcp-alloc
& 说明:
为了使DHCP客户端能从DHCP服务器获得IP地址,还需要在DHCP服务器上进行一些配置。由于作为DHCP服务器的设备不同,所需进行的配置也不同,故此处从略。
& 说明:
l DHCP Snooping不支持链路聚合。若以太网端口加入聚合组,则该端口上进行的DHCP Snooping配置不会生效;该端口退出聚合组后,之前的DHCP Snooping配置才会生效。
l 设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。
l 使能DHCP Snooping功能的设备,不能作为DHCP服务器和DHCP中继。
l 建议不要在同一台设备上同时配置DHCP客户端/BOOTP客户端和DHCP Snooping功能,否则可能无法生成DHCP Snooping表项,DHCP客户端/BOOTP客户端也可能申请不到IP地址。
DHCP Snooping是DHCP的一种安全特性,具有如下功能:
(1) 记录DHCP客户端IP地址与MAC地址的对应关系;
(2) 保证客户端从合法的服务器获取IP地址。
出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户从DHCP服务器获取的IP地址和用户主机MAC地址的对应关系。DHCP Snooping可以实现该功能。
DHCP Snooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文,记录DHCP客户端的MAC地址以及获取到的IP地址。管理员可以通过display dhcp-snooping命令查看DHCP客户端获取的IP地址信息。
在网络中如果有私自架设的DHCP服务器,则可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
l 信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址。
l 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。
与DHCP服务器直接或间接相连的端口需要配置为信任端口,以便DHCP Snooping设备正常转发DHCP服务器的应答报文,保证DHCP客户端能够从合法的DHCP服务器获取IP地址。
如图4-1所示,Switch的以太网端口GE1/0/1与DHCP服务器相连,端口GE1/0/1需要配置为信任端口,使其能够转发DHCP服务器回复的应答报文。
图4-1 与DHCP服务器直接或间接相连
在多个DHCP Snooping设备级联的网络中,与其他DHCP Snooping设备相连的端口需要配置为信任端口。
在这种网络环境中,为了节省系统资源,不需要每台DHCP Snooping设备都记录所有DHCP客户端的IP地址和MAC地址绑定,只需在与客户端直接相连的DHCP Snooping设备上记录绑定信息。通过将间接与DHCP客户端相连的信任端口配置为不记录IP地址和MAC地址绑定,可以实现该功能。如果DHCP客户端发送的请求报文从此类信任端口到达DHCP Snooping设备,DHCP Snooping设备不会记录客户端IP地址和MAC地址的绑定。
如图4-2所示,Switch A、Switch B和Switch C作为DHCP Snooping设备,Switch A的以太网端口GE1/0/2、GE1/0/3,Switch B的端口GE1/0/1、GE1/0/2和Switch C的端口GE1/0/2、GE1/0/3、GE1/0/4配置为信任端口;为了避免在所有设备上都记录DHCP客户端IP地址和MAC地址的绑定,可以将Switch A的端口GE1/0/3、Switch B的端口GE1/0/1和Switch C的GE1/0/3、GE1/0/4配置为不记录绑定信息的信任端口。
图4-2 DHCP Snooping级联组网图
Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option 82的详细介绍请参见“1.4.3 1. 中继代理信息选项(Option 82)”。
如果DHCP Snooping支持Option 82功能,则当设备接收到DHCP请求报文后,将根据报文中是否包含Option 82以及用户配置的处理策略及填充格式对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。具体的处理方式见表4-1。
当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发。
表4-1 DHCP Snooping支持Option 82的处理方式
收到DHCP请求报文 |
处理策略 |
填充格式 |
DHCP Snooping对报文的处理 |
收到的报文中带有Option 82 |
Drop |
任意 |
丢弃报文 |
Keep |
任意 |
保持报文中的Option 82不变并进行转发 |
|
Replace |
normal |
采用normal格式填充Option 82,替换报文中原有的Option 82并进行转发 |
|
verbose |
采用verbose格式填充Option 82,替换报文中原有的Option 82并进行转发 |
||
收到的报文中不带有Option 82 |
- |
normal |
采用normal格式填充Option 82并进行转发 |
- |
verbose |
采用verbose格式填充Option 82并进行转发 |
& 说明:
DHCP Snooping对Option 82的处理策略、填充方式与DHCP中继相同。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能DHCP Snooping功能 |
dhcp-snooping |
必选 缺省情况下,DHCP Snooping功能处于关闭状态 |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置端口为信任端口 |
dhcp-snooping trust [ no-user-binding ] |
必选 缺省情况下,在使能DHCP Snooping功能后,设备的所有端口均为不信任端口 |
& 说明:
l 为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
l 建议不要在设备上同时配置DHCP Snooping功能和灵活QinQ功能,否则可能导致DHCP Snooping功能无法正常使用。
只有在使能DHCP Snooping功能后,DHCP Snooping支持Option 82功能的相关配置才会生效。
表4-3 配置DHCP Snooping支持Option 82功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置DHCP Snooping支持Option 82功能 |
dhcp-snooping information enable |
必选 缺省情况下,DHCP Snooping不支持Option 82功能 |
配置DHCP Snooping对包含Option 82的请求报文的处理策略 |
dhcp-snooping information strategy { drop | keep | replace } |
可选 缺省情况下,处理策略为replace |
配置Option 82的填充格式 |
dhcp-snooping information format { normal | verbose [ node-identifier { mac | sysname | user-defined node-identifier } ] } |
可选 缺省情况下,Opiton 82的填充格式为normal |
& 说明:
l 为使Option 82功能正常使用,需要在DHCP服务器和DHCP Snooping上都进行相应配置。由于作为DHCP服务器的设备不同,所需进行的配置也不同,故此处从略。
l DHCP Snooping对包含Option 82请求报文的处理策略为replace时,需要配置Option 82的填充格式;处理策略为keep或drop时,不需要配置Option 82的填充格式。
l 如果以节点的设备名称(sysname)作为节点标识填充DHCP报文的Option 82,则设备名称中不能包含空格;否则,DHCP Snooping将丢弃该报文。
在完成上述配置后,在任意视图下执行display命令可以显示DHCP Snooping的配置情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除DHCP Snooping的统计信息。
表4-4 DHCP Snooping显示和维护
操作 |
命令 |
显示通过DHCP Snooping记录的绑定信息表 |
display dhcp-snooping |
显示信任端口信息 |
display dhcp-snooping trust |
清除DHCP Snooping表项 |
reset dhcp-snooping { all | ip ip-address } |
Switch通过以太网端口GigabitEthernet1/0/1连接到DHCP服务器,通过以太网端口GigabitEthernet1/0/2、GigabitEthernet1/0/3连接到DHCP客户端。要求:
l 与DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
l 记录DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文中DHCP客户端IP地址及MAC地址的绑定关系。
l 支持Option 82功能。接收到客户端发送的DHCP请求报文后,将以verbose格式填充的Option 82添加到DHCP请求报文中,并转发该报文。
图4-3 DHCP Snooping组网示意图
# 使能DHCP Snooping功能。
<Switch> system-view
[Switch] dhcp-snooping
# 配置GigabitEthernet1/0/1端口为信任端口。
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] dhcp-snooping trust
[Switch-GigabitEthernet1/0/1] quit
# 在端口GigabitEthernet1/0/2上配置DHCP Snooping支持Option 82功能。
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] dhcp-snooping information enable
# 在端口GigabitEthernet1/0/2上配置Option 82以verbose格式进行填充。
[Switch-GigabitEthernet1/0/2] dhcp-snooping information format verbose node-identifier sysname
[Switch-GigabitEthernet1/0/2] quit
# 在端口GigabitEthernet1/0/3上配置DHCP Snooping支持Option 82功能。
[Switch] interface gigabitethernet1/0/3
[Switch-GigabitEthernet1/0/3] dhcp-snooping information enable
# 在端口GigabitEthernet1/0/3上配置Option 82以verbose格式进行填充。
[Switch-GigabitEthernet1/0/3] dhcp-snooping information format verbose node-identifier sysname
& 说明:
l BOOTP客户端中对于接口的相关配置,目前只能在VLAN接口上进行。
l 多个具有相同MAC地址的VLAN接口通过中继以BOOTP方式申请IP地址时,不能用Windows 2000 Server和Windows 2003 Server作为BOOTP服务器。
l 建议不要在同一台设备上同时配置BOOTP客户端和DHCP Snooping功能,否则可能无法生成DHCP Snooping表项,BOOTP客户端也可能申请不到IP地址。
BOOTP是Bootstrap Protocol(自举协议)的简称。指定设备的接口作为BOOTP客户端后,该接口可以使用BOOTP协议从BOOTP服务器获得IP地址等信息,从而方便用户配置。
使用BOOTP协议,管理员需要在BOOTP服务器上为每个BOOTP客户端配置BOOTP参数文件,该文件包括BOOTP客户端的MAC地址及其对应的IP地址等信息。当BOOTP客户端向BOOTP服务器发起请求时,服务器会查找BOOTP参数文件,并返回相应的配置信息。
由于需要在BOOTP服务器上为每个客户端事先配置参数文件,BOOTP一般运行在相对稳定的环境中。当网络变化频繁时,可以采用DHCP协议。
& 说明:
由于DHCP服务器可以与BOOTP客户端进行交互,因此用户可以不配置BOOTP服务器,而使用DHCP服务器为BOOTP客户端分配IP地址。
& 说明:
在下面的IP地址动态获取过程中,BOOTP服务器的功能可以用DHCP服务器替代。
BOOTP客户端从BOOTP服务器动态获取IP地址的具体过程如下:
(1) BOOTP客户端以广播方式发送BOOTP请求报文,其中包含了BOOTP客户端的MAC地址;
(2) BOOTP服务器接收到请求报文后,根据报文中的BOOTP客户端MAC地址,从配置文件数据库中查找对应的IP地址等信息,并向客户端返回包含这些信息的BOOTP响应报文;
(3) BOOTP客户端从接收到的响应报文中即可获得IP地址等信息。
与BOOTP相关的协议规范有:
l RFC 951:Bootstrap Protocol (BOOTP)
l RFC 2132:DHCP Options and BOOTP Vendor Extensions
l RFC 1542:Clarifications and Extensions for the Bootstrap Protocol
表5-1 配置接口通过BOOTP协议获取IP地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口通过BOOTP协议获取IP地址 |
ip address bootp-alloc |
必选 缺省情况下,接口不通过BOOTP协议获取IP地址 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后BOOTP客户端的运行情况,通过查看显示信息验证配置的效果。
表5-2 BOOTP客户端显示和维护
操作 |
命令 |
显示BOOTP客户端的相关信息 |
display bootp client [ interface interface-type interface-number ] |
Switch B的端口(属于VLAN1)接入局域网,VLAN接口1通过BOOTP协议从DHCP服务器获取IP地址。
如图3-1所示。
下面只列出图3-1中,作为客户端的SwitchA的配置。
# 配置VLAN接口1通过BOOTP动态获取地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] ip address bootp-alloc
& 说明:
为了使BOOTP客户端能从DHCP服务器获得IP地址,还需要在DHCP服务器上进行一些配置,由于作为DHCP服务器的设备不同,所需进行的配置也不同,故此处从略。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!