- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-DHCP-Snooping操作
本章节下载 (115.51 KB)
目 录
出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户从DHCP Server获取的IP地址和用户主机的MAC地址的对应关系。
l
三层交换机可以通过DHCP Relay记录用户的IP地址信息。
l
二层交换机可以通过DHCP-Snooping功能监听DHCP广播报文,记录用户的IP地址信息。
DHCP-Snooping功能在E126以太网交换机应用的典型组网如图1-1所示。图中的Switch A为E126以太网交换机。
DHCP Client与DHCP Server间的报文交互过程如图1-2所示:
图1-2 DHCP Client与DHCP Server间报文交互过程
DHCP-Snooping通过以下两种方法来获得用户从DHCP Server获取的IP地址和用户MAC地址信息:
l
监听DHCPACK报文
l
监听DHCPREQUEST报文
当E126以太网交换机上启用DHCP-Snooping功能后,交换机上会生成一个DHCP-Snooping表,用来记录从DHCP Server获取的IP地址和用户MAC地址信息,每条记录为DHCP-Snooping表中的一个表项。
注意事项:DHCP-Snooping没有自动老化、清除DHCP-Snooping表项的功能。
由于DHCP-Snooping没有自动老化、清除DHCP-Snooping表项的功能,随着DHCP-Snooping监听到的IP地址信息数量的增加,DHCP-Snooping表也会越来越大。此时即使DHCP-Snooping表中记录的某DHCP Client用户已经释放了IP地址,但该表项依旧存在。
当DHCP-Snooping下挂的用户很多时,为了避免内存的浪费,建议DHCP-Snooping功能与802.1x认证、MAC地址认证功能结合使用,此时DHCP-Snooping表项会随着认证用户的上线、下线,进行动态添加、删除。否则只能通过关闭DHCP-Snooping功能来清除过多的表项。
DHCP-Snooping配置包括:
l
开启DHCP-Snooping功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启交换机DHCP-Snooping功能 |
dhcp-snooping |
必选 缺省情况下,以太网交换机的DHCP-Snooping功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示通过DHCP-Snooping记录的用户IP地址与MAC地址的对应关系。
表1-2 DHCP-Snooping显示和维护
|
操作 |
命令 |
说明 |
|
显示通过DHCP-Snooping记录的用户IP地址和MAC地址的对应关系 |
display dhcp-snooping |
display命令可在任意视图下执行 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
