• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S5100-SI EI系列以太网交换机 操作手册-Release 2200(V1.02)

19-DHCP操作

本章节下载  (331.7 KB)

19-DHCP操作

v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

第1章  DHCP概述

1.1  DHCP简介

随着网络规模的不断扩大和网络复杂度的提高,经常出现计算机的数量超过可供分配的IP地址的情况。同时随着便携机及无线网络的广泛使用,计算机的位置也经常变化,相应的IP地址也必须经常更新,从而导致网络配置越来越复杂。DHCPDynamic Host Configuration Protocol,动态主机配置协议)就是为解决这些问题而发展起来的。

DHCP采用“客户端/服务器”通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等配置信息,以实现网络资源的动态配置。

DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机),如图1-1所示:

图1-1 DHCP典型应用

1.2  DHCPIP地址分配

1.2.1  IP地址分配策略

针对客户端的不同需求,DHCP提供三种IP地址分配策略:

l              手工分配地址:由管理员为少数特定客户端(如WWW服务器等)静态绑定IP地址。通过DHCP将配置的固定IP地址发给客户端。

l              自动分配地址:DHCP为客户端分配租期为无限长的IP地址。

l              动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,当使用期限到期后,客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。

1.2.2  IP地址动态获取过程

DHCP客户端从DHCP服务器动态获取IP地址,主要通过四个阶段进行:

(1)        发现阶段,即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCP-DISCOVER报文。

(2)        提供阶段,即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端发送的DHCP-DISCOVER报文后,根据IP地址分配的优先次序从地址池中选出一个IP地址,与其他参数一起通过DHCP-OFFER报文发送给客户端(发送方式根据客户端发送的DHCP-DISCOVER报文中的flag字段决定,具体请见1.3  DHCP报文格式的介绍)。

(3)        选择阶段,即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文,客户端只接受第一个收到的DHCP-OFFER报文,然后以广播方式发送DHCP-REQUEST报文,该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。

(4)        确认阶段,即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后,只有DHCP客户端选择的服务器会进行如下操作:如果确认地址分配给该客户端,则返回DHCP-ACK报文;否则将返回DHCP-NAK报文,表明地址不能分配给该客户端。

&  说明:

l      客户端收到服务器返回的DHCP-ACK确认报文后,会以广播的方式发送免费ARP报文,探测是否有主机使用服务器分配的IP地址,如果在规定的时间内没有收到回应,客户端才使用此地址。否则,客户端会发送DHCP-DECLINE报文给DHCP服务器,并重新申请IP地址。

l      如果网络中存在多个DHCP服务器,除DHCP客户端选中的服务器外,其它DHCP服务器中本次未分配出的IP地址仍可分配给其他客户端。

 

1.2.3  IP地址的租约更新

如果采用动态地址分配策略,则DHCP服务器分配给客户端的IP地址有一定的租借期限,当租借期满后服务器会收回该IP地址。如果DHCP客户端希望延长使用该地址的期限,需要更新IP地址租约。

DHCP客户端的IP地址租约期限达到一半时间时,DHCP客户端会向DHCP服务器单播发送DHCP-REQUEST报文,进行IP租约的更新。如果此IP地址有效,则DHCP服务器单播回应DHCP-ACK报文,通知DHCP客户端已经获得新IP租约;如果此IP地址不可以再分配给该客户端,则DHCP服务器回应DHCP-NAK报文,通知DHCP客户端不能获得新的租约。

如果在租约的一半时间进行的续约操作失败,DHCP客户端会在租约期限达到7/8时,再次广播发送DHCP-REQUEST报文进行续约。DHCP服务器的处理同上,不再赘述。

1.3  DHCP报文格式

DHCP8种类型的报文,每种报文的格式相同,只是报文中的某些字段取值不同。DHCP报文格式基于BOOTP的报文格式,具体格式如图1-2所示(括号中的数字表示该字段所占的字节):

图1-2 DHCP报文格式

各字段的解释如下:

l              opDHCP报文的操作类型,分为请求报文和响应报文,1为请求报文;2为响应报文。

l              htypehlenDHCP客户端的硬件地址类型及长度。

l              hopsDHCP报文经过的DHCP中继的数目。DHCP请求报文每经过一个DHCP中继,该字段就会增加1

l              xid:客户端发起一次请求时选择的随机数,用来标识一次地址请求过程。

l              secsDHCP客户端开始DHCP请求后的时间。

l              flags:第一个比特为广播响应标识位,用来标识DHCP服务器响应报文是采用单播还是广播发送,0表示采用单播方式,1表示采用广播方式。其余比特保留不用。

l              ciaddrDHCP客户端的IP地址。

l              yiaddrDHCP服务器分配给客户端的IP地址。

l              siaddrDHCP客户端获取IP地址等信息的服务器IP地址。

l              giaddrDHCP客户端发出请求报文后经过的第一个DHCP中继的IP地址。

l              chaddrDHCP客户端的硬件地址。

l              snameDHCP客户端获取IP地址等信息的服务器名称。

l              fileDHCP服务器为DHCP客户端指定的启动配置文件名称及路径信息。

l              option:可选变长选项字段,包含报文的类型、有效租期、DNSDomain Name System,域名系统)服务器的IP地址、WINS服务器的IP地址等配置信息。

1.4  协议规范

DHCP相关的协议规范有:

l              RFC2131Dynamic Host Configuration Protocol

l              RFC2132DHCP Options and BOOTP Vendor Extensions

l              RFC1542Clarifications and Extensions for the Bootstrap Protocol

l              RFC3046DHCP Relay Agent Information option

 


第2章  DHCP Snooping配置

&  说明:

S5100-SI/EI系列以太网交换机上开启DHCP Snooping功能后,不支持与之连接的客户端使用BOOTP方式动态获取IP地址。

 

2.1  简介

2.1.1  DHCP Snooping简介

出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户从DHCP服务器获取的IP地址和用户主机的MAC地址的对应关系。

l              三层交换机可以通过DHCP中继记录用户的IP地址信息。

l              二层交换机可以通过DHCP Snooping功能监听DHCP广播报文,记录用户的IP地址信息。

另外,在网络中如果有私自架设的DHCP服务器,将可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口与不信任端口。

l              信任端口是与合法的DHCP服务器直接或间接连接的端口。信任端口对接收到的DHCP报文正常转发,从而保证了DHCP客户端获取正确的IP地址。

l              不信任端口是不与合法的DHCP服务器连接的端口。如果从不信任端口接收到DHCP服务器响应的DHCP-ACKDHCP-OFFER报文则会丢弃,从而防止了DHCP客户端获得错误的IP地址。

DHCP Snooping功能在S5100-SI/EI系列以太网交换机应用的典型组网如图2-1所示。图中的Switch AS5100-SI/EI系列以太网交换机。

图2-1 DHCP Snooping典型组网

DHCP Snooping通过以下两种方法来获得用户从DHCP服务器获取的IP地址和用户MAC地址信息:

l              监听DHCP-REQUEST报文

l              监听DHCP-ACK报文

2.1.2  DHCP Snooping支持Option 82

1. Option 82简介

Option 82DHCP报文中的中继代理信息选项(Relay Agent Information option),该选项记录了DHCP客户端的位置信息。DHCP中继(或DHCP Snooping设备)接收到DHCP客户端发送给DHCP服务器的请求报文后,可以在该报文中添加Option 82选项,以便管理员定位DHCP客户端,实现对客户端的安全和计费等控制。支持Option 82选项的服务器还可以根据该选项的信息制订IP地址和其他参数的分配策略,提供更加灵活的地址分配方式。

Option 82选项最多可以包含255个子选项。若定义了Option 82,则至少要定义一个子选项。目前设备只支持两个子选项:Circuit ID子选项(sub-option 1)和Remote ID子选项(sub-option 2)。

2. Option 82的填充内容与格式

由于Option 82的内容没有统一规定,不同厂商通常根据需要进行填充。目前,S5100-SI/EI系列以太网交换机作为DHCP Snooping设备,对Option 82子选项在默认情况下的填充内容为:

l              sub-option 1Circuit ID,电路ID子选项)的内容是接收到DHCP客户端请求报文的端口所属VLAN的编号以及端口索引(端口索引的取值为端口编号减1,例如端口Ethernet1/0/11的端口索引为10)。

l              sub-option 2Remote ID,远程ID子选项)的内容是接收到DHCP客户端请求报文的DHCP Snooping设备的MAC地址。

缺省情况下,S5100-SI/EI系列以太网交换机作为DHCP Snooping设备,对Option 82字段的填充格式为扩展格式。以默认填充内容为例,子选项的扩展格式如图2-2图2-3所示。即:在Circuit ID子选项(Remote ID子选项)中分别定义了Circuit ID(或Remote ID)的类型和长度。

在扩展格式中,Circuit ID(或Remote ID)的类型字段取值由存储格式决定。如果是HEX格式,则设置为0,如果是ASCII格式,则设置为1

图2-2 Circuit ID子选项的扩展格式

图2-3 Remote ID子选项的扩展格式

在实际组网环境中,由于一些网络设备所支持的Option 82格式不支持Remote IDCircuit ID的类型和长度标识,为了与这些设备正常互通,S5100-SI/EI系列以太网交换机支持配置Option82的填充格式为标准格式。以默认填充内容为例,子选项的标准格式如图2-4图2-5所示。即:在Circuit ID子选项(或Remote ID子选项)中不包含标识Circuit ID(或Remote ID)的类型和长度的两个字节。

图2-4 Circuit ID子选项的标准格式

图2-5 Remote ID子选项的标准格式

3. DHCP Snooping支持Option 82工作机制

设备配置了DHCP SnoopingDHCP Snooping支持Option 82功能后,当收到的DHCP客户端发送的DHCP请求报文中带有Option 82选项时,根据配置的处理策略和子选项内容不同,DHCP Snooping对报文的处理机制不同,详见2-1

表2-1 DHCP Snooping设备对携带Option 82选项的报文的处理方式

处理策略

子选项内容

DHCP Snooping设备对报文的处理

Drop

-

丢弃报文

Keep

-

保持报文中的Option 82选项不变并进行转发

Replace

未配置子选项的内容

采用默认内容填充Option 82字段,替换报文中原有的Option 82选项并进行转发

存储格式为dhcp-snooping information format命令指定的格式(如果未配置此命令,则采用默认的HEX格式)

配置了Circuit ID子选项的内容

Option 82选项中Circuit ID填充为用户自定义的内容(存储格式为ASCII),替换原有的Option 82选项并进行转发

配置了Remote ID子选项的内容

Option 82选项中Remote ID填充为用户自定义的内容(存储格式为ASCII),替换原有的Option 82选项并进行转发

 

当收到的DHCP客户端发送的DHCP请求报文中未带Option 82选项时,根据配置的子选项内容,对option字段进行填充后,转发报文,详见表2-2

表2-2 DHCP Snooping设备对未携带Option 82选项的报文的处理方式

子选项内容

DHCP Snooping设备对报文的处理

未配置子选项的内容

采用默认内容填充报文中的Option 82字段并进行转发

存储格式为dhcp-snooping information format命令指定的格式(如果未配置此命令,则采用默认的HEX格式)

配置了Circuit ID子选项的内容

Option 82选项中Circuit ID填充为用户自定义的内容(存储格式为ASCII)并进行转发

配置了Remote ID子选项的内容

Option 82选项中Remote ID填充为用户自定义的内容(存储格式为ASCII)并进行转发

 

&  说明:

Option 82字段中Circuit ID子选项或Remote ID子选项的内容的配置相互独立,可以单独配置也可以同时配置,且配置顺序不分先后。

 

当接收到DHCP服务器的DHCP回应报文时,如果报文中含有Option 82选项,则删除Option 82字段进行转发;如果报文中不含有Option 82选项,则直接转发。

2.1.3  IP过滤简介

DoSDenial of Service,拒绝服务)攻击是指攻击者利用攻击工具向服务器发送大量伪造的不同源IP地址的请求报文,使网络无法正常工作。具体的影响如下:

l              耗尽服务器的资源,使其拒绝对其它请求的响应;

l              由于交换机接收到此类报文需上送CPU处理,因此请求报文数量过多,会导致交换机CPU利用率持续上升,不能正常工作。

交换机可以通过DHCP Snooping表和IP静态绑定表,对非法IP报文进行过滤。

1. DHCP Snooping

交换机启用DHCP Snooping功能后,会生成一个DHCP Snooping表,用来记录客户端从DHCP服务器获取的IP地址、客户端的MAC地址、客户端连接到DHCP Snooping设备的端口编号、以及该端口所属VLAN的编号等信息,每条记录为DHCP Snooping表中的一个表项。

2. IP静态绑定表

DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCP Snooping表记录,因此不能通过基于DHCP Snooping表项的IP过滤检查,导致用户无法正常访问外部网络。

为了能够让这些拥有合法固定IP地址的用户访问网络,交换机支持手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。以便顺利转发该用户的报文。

3. IP过滤方式

交换机对IP报文的两种过滤方式:

l              根据报文中的源IP地址进行过滤。如果报文的源IP地址、接收报文的交换机端口编号,与DHCP Snooping表或手工配置的IP静态绑定表表项一致,则认为该报文是合法的报文,直接转发;否则认为是非法报文,直接丢弃;

l              根据报文中的源IP地址和源MAC地址进行过滤。如果报文的源IP地址、源MAC地址、接收报文的交换机端口编号,与DHCP Snooping表或手工配置的静态绑定表表项一致,则认为该报文是合法的报文,直接转发;否则认为是非法报文,直接丢弃。

2.2  DHCP Snooping相关配置

2.2.1  配置DHCP Snooping功能

表2-3 配置DHCP Snooping功能

操作

命令

说明

进入系统视图

system-view

-

开启交换机DHCP Snooping功能

dhcp-snooping

必选

缺省情况下,交换机的DHCP Snooping功能处于关闭状态

进入以太网端口视图

interface interface-type interface-number

-

配置端口为DHCP Snooping信任端口

dhcp-snooping trust

必选

缺省情况下,在开启DHCP Snooping功能后,设备的所有端口均为不信任端口

 

&  说明:

l      为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。

l      建议用户不要在交换机上同时配置DHCP Snooping功能和灵活QinQ功能,否则可能导致DHCP Snooping功能无法正常使用。

 

2.2.2  配置DHCP Snooping支持Option 82功能

&  说明:

配置DHCP Snooping支持Option 82功能之前,需要先开启交换机的DHCP Snooping功能,并配置信任端口。

 

表2-4 DHCP Snooping支持Option 82配置任务简介

配置任务

说明

详细配置

开启DHCP Snooping支持Option 82功能

必选

2.

配置DHCP Snooping支持Option 82策略

可选

3.

配置Option 82存储格式

可选

4.

配置Option 82Circuit ID的内容

可选

5.

配置Option 82Remote ID的内容

可选

6.

配置Option 82字段的填充格式

可选

7.

 

1. 开启DHCP Snooping支持Option 82功能

表2-5 开启DHCP Snooping支持Option 82功能

操作

命令

说明

进入系统视图

system-view

-

开启DHCP Snooping支持Option 82功能

dhcp-snooping information enable

必选

缺省情况下,DHCP Snooping支持Option 82功能处于关闭状态

 

2. 配置DHCP Snooping支持Option 82策略

表2-6 配置DHCP Snooping支持Option 82策略

操作

命令

说明

进入系统视图

system-view

-

对所有端口接收的包含Option 82选项请求报文配置全局处理策略

dhcp-snooping information strategy { drop | keep | replace }

可选

缺省情况下,DHCP Snooping对带有Option 82选项的请求报文的处理策略为replace

进入以太网端口视图

interface interface-type interface-number

-

对指定端口接收的包含Option 82选项请求报文配置端口处理策略

dhcp-snooping information strategy { drop | keep | replace }

可选

缺省情况下,DHCP Snooping对带有Option 82选项的请求报文的处理策略为replace

 

&  说明:

当同时配置了全局处理策略和指定端口的端口处理策略时,在该端口上优先使用端口处理策略进行处理,其它端口使用全局处理策略进行处理。

 

3. 配置Option 82的存储格式

S5100-SI/EI系列以太网交换机支持对Option 82的存储格式进行配置,可以为十六进制数串格式(HEX),或ASCII码格式。

表2-7 配置Option 82的存储格式

操作

命令

说明

进入系统视图

system-view

-

配置Option 82的存储格式

dhcp-snooping information format { hex | ascii }

可选

缺省情况下,交换机对Option 82的存储格式为hex

 

&  说明:

dhcp-snooping information format命令只对交换机默认填加的Option 82内容生效。如果用户通过命令配置了Circuit IDRemote ID的内容则相应子选项的存储格式为ASCII格式不再受dhcp-snooping information format命令配置的约束。

 

4. 配置Option 82Circuit ID的内容

表2-8 配置Option 82Circuit ID的内容

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

配置Option 82中的Circuit ID的内容

dhcp-snooping information [ vlan vlan-id ] circuit-id string string

可选

缺省情况下,Option 82Circuit ID的内容为接收DHCP客户端请求报文的端口所属VLAN的编号以及端口索引

 

&  说明:

l      在端口汇聚组中,本命令允许对主端口和成员端口进行分别配置,但添加Option 82信息时,以端口汇聚组中主端口上配置的Circuit ID内容为准。

l      在端口上配置Option 82Circuit ID的内容,不会在端口汇聚时进行汇聚同步。

 

5. 配置Option 82Remote ID的内容

配置Option 82Remote ID的内容有两种方式。

l              系统视图下配置:对本设备所有端口生效。可以配置Option 82的内容为设备的系统名称或用户自定义的字符串,格式为ASCII

l              端口视图下配置:只对设备的当前端口生效。配置内容为用户自定义的字符串,可以指定VLAN来进行配置,即对于属于不同VLAN的报文可以添加不同的配置规则,格式为ASCII

表2-9 配置Option 82Remote ID的内容

操作

命令

说明

进入系统视图

system-view

-

系统视图下,配置Option 82中的Remote ID的内容

dhcp-snooping information remote-id { sysname | string string }

可选

缺省情况下,Option 82中的Remote ID的内容为接收DHCP客户端请求报文的DHCP Snooping设备的MAC地址

进入以太网端口视图

Interface interface-type interface-number

-

以太网端口视图下,配置Option 82中的Remote ID的内容

dhcp-snooping information [ vlan vlan-id ] remote-id string string

可选

缺省情况下Option 82中的Remote ID的内容为接收DHCP客户端请求报文的DHCP Snooping设备的MAC地址

 

&  说明:

l      如果同时在系统视图和端口视图下配置了Remote ID的内容,则在指定端口上优先使用端口配置内容进行处理,其它端口上使用全局配置内容进行处理。

l      在汇聚端口组中,本命令允许对汇聚主端口和成员端口进行分别配置,但添加Option 82信息时,以汇聚端口组中主端口上配置的Remote ID内容为准。

l      在端口上配置Option 82Remote ID的内容,不会在端口汇聚时进行汇聚同步。

 

6. 配置Option 82字段的填充格式

表2-10 配置Option 82字段的填充格式

操作

命令

说明

进入系统视图

system-view

-

配置Option 82字段的填充格式

dhcp-snooping information packet-format { extended | standard }

可选

缺省情况下,Option 82字段的填充格式为扩展格式

 

2.2.3  配置IP过滤功能

表2-11 配置IP过滤功能

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

开启IP过滤功能

ip check source ip-address [ mac-address ]

必选

缺省情况下,端口上的IP过滤功能处于关闭状态

配置IP静态绑定表项

ip source static binding ip-address ip-address [ mac-address mac-address ]

可选

缺省情况下,没有配置IP静态绑定表项

 

&  说明:

l      配置IP过滤功能之前,需要先开启交换机的DHCP Snooping功能,并配置信任端口。

l      建议用户不要在汇聚组中的端口上配置IP过滤功能。

 

2.3  DHCP Snooping典型配置举例

2.3.1  DHCP Snooping支持Option 82配置举例

1. 组网需求

图2-6所示,Switch的端口GigabitEthernet1/0/5DHCP服务器端相连,端口GigabitEthernet1/0/1GigabitEthernet1/0/2GigabitEthernet1/0/3分别与DHCP Client ADHCP Client BDHCP Client C相连。

l              Switch上开启DHCP Snooping功能。

l              设置Switch上端口GigabitEthernet1/0/5DHCP Snooping信任端口。

l              Switch上开启DHCP Snooping支持Option 82功能,且填充Option 82Remote ID字段的内容为Switch的系统名称。对经过端口GigabitEthernet1/0/3的属于VLAN 1的报文,填充Option 82Circuit ID字段的内容为abcd

2. 组网图

图2-6 配置DHCP Snooping支持Option 82功能组网图

3. 配置步骤

# 开启交换机DHCP Snooping功能。

<Switch> system-view

[Switch] dhcp-snooping

# 设置端口GigabitEthernet1/0/5DHCP Snooping信任端口。

[Switch] interface GigabitEthernet1/0/5

[Switch-GigabitEthernet1/0/5] dhcp-snooping trust

[Switch-GigabitEthernet1/0/5] quit

# 开启DHCP Snooping支持Option 82功能。

[Switch] dhcp-snooping information enable

# 配置Option 82Remote ID字段的内容为DHCP Snooping设备的系统名称。

[Switch] dhcp-snooping information remote-id sysname

# 在以太网端口GigabitEthernet1/0/3上配置,对VLAN 1DHCP报文的Option 82Circuit ID字段的内容填充为用户自定义内容abcd

[Switch] interface GigabitEthernet1/0/3

[Switch-GigabitEthernet1/0/3] dhcp-snooping information vlan 1 circuit-id string abcd

2.3.2  IP过滤典型配置举例

1. 组网需求

图2-7所示,Switch的端口GigabitEthernet1/0/1连接DHCP 服务器;端口GigabitEthernet1/0/2连接Host AHost AIP地址为1.1.1.1MAC地址为0001-0001-0001;端口GigabitEthernet1/0/3和端口GigabitEthernet1/0/4连接DHCP Client BDHCP Client C

l              Switch上开启DHCP Snooping功能,并设置端口GigabitEthernet1/0/1DHCP Snooping信任端口,防止伪DHCP服务器的攻击。

l              Switch的端口GigabitEthernet1/0/2GigabitEthernet1/0/3GigabitEthernet1/0/4上开启IP过滤功能,防止客户端使用伪造的不同源IP地址对服务器进行攻击。

l              Switch上配置IP静态绑定表项,保证使用固定IP地址的客户端Host A正常访问外部网络。

2. 组网图

图2-7 配置IP过滤组网图

3. 配置步骤

# 开启交换机DHCP Snooping功能。

<Switch> system-view

[Switch] dhcp-snooping

# 设置端口GigabitEthernet1/0/1为信任端口。

[Switch] interface GigabitEthernet1/0/1

[Switch-GigabitEthernet1/0/1] dhcp-snooping trust

[Switch-GigabitEthernet1/0/1] quit

# 分别启用端口GigabitEthernet1/0/2GigabitEthernet1/0/3GigabitEthernet1/0/4IP过滤功能,根据端口接收的IP报文的源IP地址/MAC地址对报文进行过滤。

[Switch] interface GigabitEthernet1/0/2

[Switch-GigabitEthernet1/0/2] ip check source ip-address mac-address

[Switch-GigabitEthernet1/0/2] quit

[Switch] interface GigabitEthernet1/0/3

[Switch-GigabitEthernet1/0/3] ip check source ip-address mac-address

[Switch-GigabitEthernet1/0/3] quit

[Switch] interface GigabitEthernet1/0/4

[Switch-GigabitEthernet1/0/4] ip check source ip-address mac-address

[Switch-GigabitEthernet1/0/4] quit

# Switch的端口GigabitEthernet1/0/2上配置IP静态绑定表项。

[Switch] interface GigabitEthernet1/0/2

[Switch-GigabitEthernet1/0/2] ip source static binding ip-address 1.1.1.1 mac-address 0001-0001-0001

2.4  DHCP Snooping配置显示

完成上述配置后,在任意视图下执行display命令,可以显示配置DHCP Snooping后的运行情况。通过查看显示信息,用户可以验证配置的效果。

表2-12 DHCP Snooping配置显示

操作

命令

说明

显示通过DHCP Snooping记录的用户IP地址和MAC地址的对应关系

display dhcp-snooping [ unit unit-id ]

display命令可在任意视图下执行

显示DHCP Snooping开启状态及信任端口信息

display dhcp-snooping trust

显示IP静态绑定表

display ip source static binding [ vlan vlan-id | interface interface-type interface-number ]

 


第3章  DHCP/BOOTP客户端配置

3.1  DHCP客户端简介

指定设备的VLAN接口作为DHCP客户端后,可以使用DHCP协议从DHCP服务器动态获得IP地址等参数,方便用户配置,也便于集中管理。

客户端通过DHCP方式动态获取IP地址的过程请参见“1.2.2  IP地址动态获取过程”部分。

3.2  BOOTP客户端简介

BOOTPBOOTstrap Protocol(自举协议)的简称。指定设备的接口作为BOOTP客户端后,该接口可以使用BOOTP协议从BOOTP服务器获得IP地址等信息,从而方便用户配置。

使用BOOTP协议,管理员需要在BOOTP服务器上为每个BOOTP客户端配置BOOTP参数文件,该文件包括BOOTP客户端的MAC地址及其对应的IP地址等信息。当BOOTP客户端向BOOTP服务器发起请求时,服务器会查找BOOTP参数文件,并返回相应的配置信息。

BOOTP客户端从BOOTP服务器动态获取IP地址的具体过程如下:

(1)        BOOTP客户端以广播方式发送BOOTP请求报文,其中包含了BOOTP客户端的MAC地址;

(2)        BOOTP服务器接收到请求报文后,根据报文中的BOOTP客户端MAC地址,从配置文件数据库中查找对应的IP地址等信息,并向客户端返回包含这些信息的BOOTP响应报文;

(3)        BOOTP客户端从接收到的响应报文中即可获得IP地址等信息。

&  说明:

由于DHCP服务器可以与BOOTP客户端进行交互,因此用户可以不配置BOOTP服务器,而使用DHCP服务器为BOOTP客户端分配IP地址。

 

3.3  DHCP/BOOTP客户端配置

表3-1 配置DHCP/BOOTP客户端

操作

命令

说明

进入系统视图

system-view

-

进入VLAN接口视图

interface Vlan-interface vlan-id

-

配置VLAN接口采用DHCPBOOTP方式获取IP地址

ip address { bootp-alloc | dhcp-alloc }

必选

缺省情况下,VLAN接口无IP地址

 

&  说明:

目前S5100-SI/EI系列以太网交换机作为DHCP客户端,可以持续占用一个IP地址的最长时间为24天。也就是说,即使DHCP服务器端地址池的租约时间长于24天,DHCP客户端也只能获取24天的租期。

 

3.4  DHCP客户端典型配置举例

1. 组网需求

Switch A的端口(属于VLAN1)接入局域网,Vlan-interface1通过DHCP协议从DHCP服务器获取IP地址。

2. 组网图

图3-1 DHCP组网图(S5100-SI/EI作为DHCP客户端)

3. 配置步骤

下面只列出作为DHCP客户端的Switch A上的配置。

# 配置Vlan-interface1通过DHCP动态获取地址。

<SwitchA> system-view

[SwitchA] interface Vlan-interface 1

[SwitchA-Vlan-interface1] ip address dhcp-alloc

3.5  DHCP/BOOTP客户端显示

表3-2 DHCP/BOOTP客户端显示

操作

命令

说明

查看DHCP客户端的相关信息

display dhcp client [ verbose ]

可选

display命令可以在任意视图下执行

查看BOOTP客户端的相关信息

display bootp client [ interface Vlan-interface vlan-id ]

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们