- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
19-DHCP操作
本章节下载 (385.87 KB)
目 录
2.1.3 DHCP Snooping支持Option 82简介
2.2.3 配置DHCP Snooping支持Option 82功能
2.4.1 DHCP Snooping支持Option 82配置举例
随着网络规模的不断扩大和网络复杂度的提高,经常出现计算机的数量超过可供分配的IP地址的情况。同时随着便携机及无线网络的广泛使用,计算机的位置也经常变化,相应的IP地址也必须经常更新,从而导致网络配置越来越复杂。DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)就是为解决这些问题而发展起来的。
DHCP采用“客户端/服务器”通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等配置信息,以实现网络资源的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机),如图1-1所示:
图1-1 DHCP典型应用
针对客户端的不同需求,DHCP提供三种IP地址分配策略:
l 手工分配地址:由管理员为少数特定客户端(如WWW服务器等)静态绑定IP地址。通过DHCP将配置的固定IP地址发给客户端。
l 自动分配地址:DHCP为客户端分配租期为无限长的IP地址。
l 动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,当使用期限到期后,客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。
DHCP客户端从DHCP服务器动态获取IP地址,主要通过四个阶段进行:
(1) 发现阶段,即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCP-DISCOVER报文。
(2) 提供阶段,即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端发送的DHCP-DISCOVER报文后,根据IP地址分配的优先次序从地址池中选出一个IP地址,与其他参数一起通过DHCP-OFFER报文发送给客户端(发送方式根据客户端发送的DHCP-DISCOVER报文中的flag字段决定,具体请见1.3 DHCP报文格式的介绍)。
(3) 选择阶段,即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文,客户端只接受第一个收到的DHCP-OFFER报文,然后以广播方式发送DHCP-REQUEST报文,该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。
(4) 确认阶段,即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后,只有DHCP客户端选择的服务器会进行如下操作:如果确认地址分配给该客户端,则返回DHCP-ACK报文;否则将返回DHCP-NAK报文,表明地址不能分配给该客户端。
l 客户端收到服务器返回的DHCP-ACK确认报文后,会以广播的方式发送免费ARP报文,探测是否有主机使用服务器分配的IP地址,如果在规定的时间内没有收到回应,客户端才使用此地址。否则,客户端会发送DHCP-DECLINE报文给DHCP服务器,并重新申请IP地址。
l 如果网络中存在多个DHCP服务器,除DHCP客户端选中的服务器外,其它DHCP服务器中本次未分配出的IP地址仍可分配给其他客户端。
如果采用动态地址分配策略,则DHCP服务器分配给客户端的IP地址有一定的租借期限,当租借期满后服务器会收回该IP地址。如果DHCP客户端希望延长使用该地址的期限,需要更新IP地址租约。
在DHCP客户端的IP地址租约期限达到一半时间时,DHCP客户端会向DHCP服务器单播发送DHCP-REQUEST报文,进行IP租约的更新。如果此IP地址有效,则DHCP服务器单播回应DHCP-ACK报文,通知DHCP客户端已经获得新IP租约;如果此IP地址不可以再分配给该客户端,则DHCP服务器回应DHCP-NAK报文,通知DHCP客户端不能获得新的租约。
如果在租约的一半时间进行的续约操作失败,DHCP客户端会在租约期限达到7/8时,再次广播发送DHCP-REQUEST报文进行续约。DHCP服务器的处理同上,不再赘述。
DHCP有8种类型的报文,每种报文的格式相同,只是报文中的某些字段取值不同。DHCP报文格式基于BOOTP的报文格式,具体格式如图1-2所示(括号中的数字表示该字段所占的字节):
图1-2 DHCP报文格式
各字段的解释如下:
l op:DHCP报文的操作类型,分为请求报文和响应报文,1为请求报文;2为响应报文。
l htype、hlen:DHCP客户端的硬件地址类型及长度。
l hops:DHCP报文经过的DHCP中继的数目。DHCP请求报文每经过一个DHCP中继,该字段就会增加1。
l xid:客户端发起一次请求时选择的随机数,用来标识一次地址请求过程。
l secs:DHCP客户端开始DHCP请求后的时间。
l flags:第一个比特为广播响应标识位,用来标识DHCP服务器响应报文是采用单播还是广播发送,0表示采用单播方式,1表示采用广播方式。其余比特保留不用。
l ciaddr:DHCP客户端的IP地址。
l yiaddr:DHCP服务器分配给客户端的IP地址。
l siaddr:DHCP客户端获取IP地址等信息的服务器IP地址。
l giaddr:DHCP客户端发出请求报文后经过的第一个DHCP中继的IP地址。
l chaddr:DHCP客户端的硬件地址。
l sname:DHCP客户端获取IP地址等信息的服务器名称。
l file:DHCP服务器为DHCP客户端指定的启动配置文件名称及路径信息。
l option:可选变长选项字段,包含报文的类型、有效租期、DNS(Domain Name System,域名系统)服务器的IP地址、WINS服务器的IP地址等配置信息。
与DHCP相关的协议规范有:
l RFC2131:Dynamic Host Configuration Protocol
l RFC2132:DHCP Options and BOOTP Vendor Extensions
l RFC1542:Clarifications and Extensions for the Bootstrap Protocol
l RFC3046:DHCP Relay Agent Information option
出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户从DHCP服务器获取的IP地址和用户主机的MAC地址的对应关系。
l 三层交换机可以通过DHCP中继记录用户的IP地址信息。
l 二层交换机可以通过DHCP Snooping功能监听DHCP报文,记录用户的IP地址信息。
DHCP Snooping功能在S2000-EA(SI)以太网交换机应用的典型组网如图2-1所示。图中的Switch A为S2000-EA(SI)以太网交换机。
S2000-EA(SI)以太网交换机的DHCP Snooping功能,通过监听DHCP-REQUEST报文和监听DHCP-ACK报文来获得用户从DHCP服务器获取的IP地址和用户MAC地址信息。
在网络中如果有私自架设的DHCP服务器,将可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP服务器获取IP地址,S2000-EA(SI)以太网交换机的DHCP Snooping安全机制,允许将端口设置为信任端口与不信任端口。
l 信任端口是与合法的DHCP服务器直接或间接连接的端口。信任端口对接收到的DHCP报文正常转发,从而保证了DHCP客户端获取正确的IP地址。
l 不信任端口是不与合法的DHCP服务器连接的端口。如果从不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文则会丢弃,从而防止了DHCP客户端获得错误的IP地址。
Option 82是DHCP报文中的中继代理信息选项(Relay Agent Information option),该选项记录了DHCP客户端的位置信息。DHCP中继(或DHCP Snooping设备)接收到DHCP客户端发送给DHCP服务器的请求报文后,可以在该报文中添加Option 82选项,以便管理员定位DHCP客户端,实现对客户端的安全和计费等控制。支持Option 82选项的服务器还可以根据该选项的信息制订IP地址和其他参数的分配策略,提供更加灵活的地址分配方式。
Option 82选项最多可以包含255个子选项。若定义了Option 82,则至少要定义一个子选项。目前设备只支持两个子选项:Circuit ID子选项(sub-option 1)和Remote ID子选项(sub-option 2)。
由于Option 82的内容没有统一规定,不同厂商通常根据需要进行填充。目前,S2000-EA(SI)以太网交换机作为DHCP Snooping设备,对Option 82子选项在默认情况下的填充内容为:
l sub-option 1(Circuit ID,电路ID子选项)的内容是接收到DHCP客户端请求报文的端口所属VLAN的编号以及端口索引(端口索引的取值为端口编号减1)。
l sub-option 2(Remote ID,远程ID子选项)的内容是接收到DHCP客户端请求报文的DHCP Snooping设备的MAC地址。
缺省情况下,S2000-EA(SI)以太网交换机作为DHCP Snooping设备,对Option 82字段的填充格式为扩展格式。以默认填充内容为例,子选项的扩展格式如图2-2和图2-3所示。即:在Circuit ID子选项(或Remote ID子选项)中分别定义了Circuit ID(或Remote ID)的类型和长度。
在扩展格式中,Circuit ID(或Remote ID)的类型字段取值由存储格式决定。如果是HEX格式,则设置为0;如果是ASCII格式,则设置为1。
图2-2 Circuit ID子选项的扩展格式
图2-3 Remote ID子选项的扩展格式
在实际组网环境中,由于一些网络设备所支持的Option 82格式不支持Remote ID和Circuit ID的类型和长度标识,为了与这些设备正常互通,S2000-EA(SI)以太网交换机支持配置Option 82的填充格式为标准格式。以默认填充内容为例,子选项的标准格式如图2-4和图2-5所示。即:在Circuit ID子选项(或Remote ID子选项)中不包含标识Circuit ID(或Remote ID)的类型和长度的两个字节。
图2-4 Circuit ID子选项的标准格式
图2-5 Remote ID子选项的标准格式
交换机配置了DHCP Snooping和DHCP Snooping支持Option 82功能后,当收到的DHCP客户端发送的DHCP请求报文中带有Option 82选项时,根据配置的处理策略和子选项内容不同,DHCP Snooping对报文的处理机制不同,详见表2-1。
表2-1 DHCP Snooping设备对携带Option 82选项的报文的处理方式
|
处理策略 |
子选项内容 |
DHCP Snooping设备对报文的处理 |
|
Drop |
- |
丢弃报文 |
|
Keep |
- |
保持报文中的Option 82选项不变并进行转发 |
|
Replace |
未配置子选项的内容 |
采用默认内容填充Option 82字段,替换报文中原有的Option 82选项并进行转发 存储格式为dhcp-snooping information format命令指定的格式(如果未配置此命令,则采用默认的HEX格式) |
|
配置了Circuit ID子选项的内容 |
将Option 82选项中Circuit ID填充为用户自定义的内容(存储格式为ASCII),替换原有的Option 82选项并进行转发 |
|
|
配置了Remote ID子选项的内容 |
将Option 82选项中Remote ID填充为用户自定义的内容(存储格式为ASCII),替换原有的Option 82选项并进行转发 |
当收到的DHCP客户端发送的DHCP请求报文中未带Option 82选项时,根据配置的子选项内容,对Option字段进行填充后,转发报文,详见表2-2。
表2-2 DHCP Snooping设备对未携带Option 82选项的报文的处理方式
|
子选项内容 |
DHCP Snooping设备对报文的处理 |
|
未配置子选项的内容 |
采用默认内容填充报文中的Option 82字段并进行转发 存储格式为dhcp-snooping information format命令指定的格式(如果未配置此命令,则采用默认的HEX格式) |
|
配置了Circuit ID子选项的内容 |
将Option 82选项中Circuit ID填充为用户自定义的内容(存储格式为ASCII)并进行转发 |
|
配置了Remote ID子选项的内容 |
将Option 82选项中Remote ID填充为用户自定义的内容(存储格式为ASCII)并进行转发 |
Option 82字段中对Circuit ID子选项或Remote ID子选项的内容的配置相互独立,可以单独配置也可以同时配置,且配置顺序不分先后。
当接收到DHCP服务器的DHCP回应报文时,如果报文中含有Option 82选项,则删除Option 82字段进行转发;如果报文中不含有Option 82选项,则直接转发。
表2-3 配置DHCP Snooping功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启交换机DHCP Snooping功能 |
dhcp-snooping |
必选 缺省情况下,交换机的DHCP Snooping功能处于关闭状态 |
在S2000-EA(SI)以太网交换机上开启DHCP Snooping功能后,不支持与之连接的客户端使用BOOTP方式动态获取IP地址。
表2-4 配置DHCP Snooping信任端口功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置端口为DHCP Snooping信任端口 |
dhcp-snooping trust |
必选 缺省情况下,S2000-EA(SI)以太网交换机的所有端口均为不信任端口 |
S2000-EA(SI)以太网交换机开启DHCP Snooping功能后,设备的所有端口均为非信任端口。为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将S2000-EA(SI)交换机上与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
配置DHCP Snooping支持Option 82功能之前,需要先开启交换机的DHCP Snooping功能,并配置信任端口。
表2-5 DHCP Snooping支持Option 82配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
开启DHCP Snooping支持Option 82功能 |
必选 |
|
|
配置DHCP Snooping支持Option 82策略 |
可选 |
|
|
配置Option 82字段的存储格式 |
可选 |
|
|
配置Option 82中Circuit ID的内容 |
可选 |
|
|
配置Option 82中Remote ID的内容 |
可选 |
|
|
配置Option 82字段的填充格式 |
可选 |
表2-6 开启DHCP Snooping支持Option 82功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启DHCP Snooping支持Option 82功能 |
dhcp-snooping information enable |
必选 缺省情况下,DHCP Snooping支持Option 82功能处于关闭状态 |
表2-7 配置DHCP Snooping支持Option 82策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
对所有端口接收的包含Option 82选项请求报文配置全局处理策略 |
dhcp-snooping information strategy { drop | keep | replace } |
可选 缺省情况下,DHCP Snooping对带有Option 82选项的请求报文的处理策略为replace |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
对指定端口接收的包含Option 82选项请求报文配置端口处理策略 |
dhcp-snooping information strategy { drop | keep | replace } |
可选 缺省情况下,DHCP Snooping对带有Option 82选项的请求报文的处理策略为replace |
当同时配置了全局处理策略和指定端口的端口处理策略时,在该端口上优先使用端口处理策略进行处理,其它端口使用全局处理策略进行处理。
S2000-EA(SI)以太网交换机支持对Option 82的存储格式进行配置,可以为十六进制数串格式(HEX),或ASCII码格式。
表2-8 配置Option 82的存储格式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置Option 82的存储格式 |
dhcp-snooping information format { hex | ascii } |
可选 缺省情况下,交换机对Option 82的存储格式为hex |
dhcp-snooping information format命令只对交换机默认填加的Option 82内容生效。如果用户通过命令配置了Circuit ID或Remote ID的内容,则相应子选项的存储格式为ASCII格式,不再受dhcp-snooping information format命令配置的约束。
表2-9 配置Option 82中Circuit ID的内容
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置Option 82中的Circuit ID的内容 |
dhcp-snooping information [ vlan vlan-id ] circuit-id string string |
可选 缺省情况下,Option 82中Circuit ID的内容为接收DHCP客户端请求报文的端口所属VLAN的编号以及端口索引 |
l 如果在端口视图下既配置了指定vlan vlan-id参数的Circuit ID的内容,又配置了未指定vlan vlan-id参数的Circuit ID的内容,则对于该端口下指定VLAN内的DHCP报文,优先使用该VLAN的Circuit ID配置内容进行处理,其他VLAN内的DHCP报文使用未配置VLAN参数的Circuit ID的内容进行处理。
l 在端口汇聚组中,本命令允许对主端口和成员端口进行分别配置,但添加Option 82信息时,以端口汇聚组中主端口上配置的Circuit ID内容为准。
l 在端口上配置Option 82中Circuit ID的内容,不会在端口汇聚时进行汇聚同步。
配置Option 82中Remote ID的内容有两种方式。
l 系统视图下配置:对本设备所有端口生效。可以配置Option 82的内容为设备的系统名称或用户自定义的字符串,格式为ASCII。
l 端口视图下配置:只对设备的当前端口生效。配置内容为用户自定义的字符串,可以指定VLAN来进行配置,即对于属于不同VLAN的报文可以添加不同的配置规则,格式为ASCII。
表2-10 配置Option 82中Remote ID的内容
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
系统视图下,配置Option 82中的Remote ID的内容 |
dhcp-snooping information remote-id { sysname | string string } |
可选 缺省情况下,Option 82中的Remote ID的内容为接收DHCP客户端请求报文的DHCP Snooping设备的MAC地址 |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
以太网端口视图下,配置Option 82中的Remote ID的内容 |
dhcp-snooping information [ vlan vlan-id ] remote-id string string |
可选 缺省情况下,Option 82中的Remote ID的内容为接收DHCP客户端请求报文的DHCP Snooping设备的MAC地址 |
l 如果同时在系统视图和端口视图下配置了Remote ID的内容,则在指定端口上优先使用端口配置内容进行处理,其它端口上使用全局配置内容进行处理。
l 如果在端口视图下既配置了指定vlan vlan-id参数的Remote ID的内容,又配置了未指定vlan vlan-id参数的Remote ID的内容,则对于该端口下指定VLAN内的DHCP报文,优先使用该VLAN的Remote ID配置内容进行处理,其他VLAN内的DHCP报文使用未配置VLAN参数的Remote ID的内容进行处理。
l 在汇聚端口组中,本命令允许对汇聚主端口和成员端口进行分别配置,但添加Option 82信息时,以汇聚端口组中主端口上配置的Remote ID内容为准。
l 在端口上配置Option 82中Remote ID的内容,不会在端口汇聚时进行汇聚同步。
表2-11 配置Option 82字段的填充格式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置Option 82字段的填充格式 |
dhcp-snooping information packet-format { extended | standard } |
可选 缺省情况下,Option 82字段的填充格式为扩展格式 |
完成上述配置后,在任意视图下执行display命令,可以显示配置DHCP Snooping后的运行情况。通过查看显示信息,用户可以验证配置的效果。
|
操作 |
命令 |
说明 |
|
显示通过DHCP Snooping记录的用户IP地址和MAC地址的对应关系 |
display dhcp-snooping [ unit unit-id ] |
display命令可在任意视图下执行 |
|
显示DHCP Snooping开启状态及信任端口信息 |
display dhcp-snooping trust |
|
|
清除DHCP Snooping表项功能 |
reset dhcp-snooping [ ip-address ] |
在用户视图下执行 |
如图2-6所示,Switch(S2000-EA(SI))的端口Ethernet1/0/5与DHCP服务器端相连,端口Ethernet1/0/1,Ethernet1/0/2,Ethernet1/0/3分别与DHCP Client A、DHCP Client B、DHCP Client C相连。
l 在Switch上开启DHCP Snooping功能。
l 设置Switch上端口Ethernet1/0/5为DHCP Snooping信任端口。
l 在Switch上开启DHCP Snooping支持Option 82功能,且填充Option 82中Remote ID字段的内容为Switch的系统名称。对经过端口Ethernet1/0/3的属于VLAN 1的报文,填充Option 82中Circuit ID字段的内容为abcd。
图2-6 配置DHCP Snooping支持Option 82功能组网图
# 开启交换机DHCP Snooping功能。
<Switch> system-view
[Switch] dhcp-snooping
# 设置端口Ethernet1/0/5为DHCP Snooping信任端口。
[Switch] interface Ethernet1/0/5
[Switch-Ethernet1/0/5] dhcp-snooping trust
[Switch-Ethernet1/0/5] quit
# 开启DHCP Snooping支持Option 82功能。
[Switch] dhcp-snooping information enable
# 配置Option 82的Remote ID字段的内容为DHCP Snooping设备的系统名称。
[Switch] dhcp-snooping information remote-id sysname
# 在以太网端口Ethernet1/0/3上配置,对VLAN 1内DHCP报文的Option 82中Circuit ID字段的内容填充为用户自定义内容abcd。
[Switch] interface Ethernet1/0/3
[Switch-Ethernet1/0/3] dhcp-snooping information vlan 1 circuit-id string abcd
指定设备的VLAN接口作为DHCP客户端后,可以使用DHCP协议从DHCP服务器动态获得IP地址等参数,方便用户配置,也便于集中管理。
客户端通过DHCP方式动态获取IP地址的过程请参见“1.2.2 IP地址动态获取过程”部分。
S2000-EA(SI)以太网交换机自动配置功能是指设备启动时,在主用和备用配置文件不存在时,自动获取并执行配置文件的功能。
自动配置功能简化了网络配置,便于实现对设备的集中管理。目前,企业网面临着这样的问题:设备分布广,维护人员少,网络管理员在每一台设备上进行手工配置的代价巨大。利用自动配置功能,网络管理员只需将配置文件保存在指定的服务器上,设备在空配置启动时可以自动从服务器上获取并执行配置文件,实现自动配置,从而大大降低了网络管理员的工作量。
自动配置功能在设备上不需要进行特殊配置,但若要成功获得配置文件,需在DHCP服务器上配置一些必需的参数,且将相应配置文件存放在TFTP服务器上。由于作为DHCP服务器的设备不同,所需进行的配置也不同,具体介绍请参见相关服务器设备的操作手册。
S2000-EA(SI)以太网交换机支持自动配置功能。基本工作过程如下:
(1) 交换机在主用和备用配置文件不存在时,系统会自动在处于up状态的缺省VLAN接口上启动DHCP客户端功能,广播方式发送DHCP请求报文。报文中的Option 55选项指明交换机需要从DHCP服务器获得哪些信息(如配置文件名、TFTP服务器IP地址等信息)。
(2) 交换机从DHCP服务器应答报文中获取自身的IP地址、可用的配置文件名称(Option 67)、存储此配置文件的TFTP服务器的域名(Option 66)或TFTP服务器地址(Option 150)。
(3) 交换机从TFTP服务器上获取配置文件。具体步骤如下:
l 首先交换机会向DNS服务器请求自身IP地址对应的域名,然后以这个域名作为一个配置文件的名称,来向TFTP服务器请求配置文件;
l 如果向DNS服务器请求IP地址对应的域名失败,则交换机会向TFTP服务器请求一个名为“netdesc.cfg”的网络中间文件,解析这个网络中间文件得到设备IP地址对应的主机名,再向TFTP服务器请求此主机名对应的配置文件(例如,主机名为switch1,则此配置文件名为“switch1.cfg”);
网络中间文件用来保存主机IP地址与主机名称的映射关系。主机IP地址与主机名称的映射关系使用“ ip host hostname ip-address”进行定义:
l 命令关键字“ip”或“host”前建议使用空格分割。
l hostname表示主机名,建议使用以英文字母、数字、“.”或“_”组成的字符串格式。
l 网络中间文件“netdesc.cfg”中,可以分行指定多条“ ip host hostname ip-address”的信息,每条信息以回车结束(最后一条信息后也必须要键入回车,否则最后一行命令将不能被执行)。
l 需要注意的是,映射关系中的一个主机名称可以对应多个不同IP地址,而一个IP地址只能唯一对应一个主机名称。如果配置了一个IP地址对应多个主机名,只有第一条信息生效。
l 如果以上操作都没有获取到交换机需要的配置文件名称,则交换机查看DHCP应答报文中是否有Option67的选项(配置文件名称),有则进行配置,没有则向TFTP服务器请求一个默认的设备配置文件(文件名为“device.cfg”)。
(4) 成功获得配置文件后,执行获取到的配置文件,完成自动配置过程。
如果交换机在通过DHCP服务器获取IP地址,或通过TFTP服务器获取配置文件的过程中,无法及时得到服务器的回复,则会持续发送获取申请。用户可以通过键入回车,终止自动配置功能。
l 用户键入回车,到系统提示自动配置成功终止,由于网络环境的不同,可能需要一定时间(大概需要1~6分钟)。这段时间内系统会锁定命令行,不允许用户输入,以避免回退配置时将用户配置命令错误删除。自动配置功能终止后,系统恢复用户对命令行的配置权限。
l 如果用户键入回车时,设备已经通过自动配置功能获取到配置文件,则配置文件不会被执行。
BOOTP是Bootstrap Protocol(自举协议)的简称。指定设备的接口作为BOOTP客户端后,该接口可以使用BOOTP协议从BOOTP服务器获得IP地址等信息,从而方便用户配置。
使用BOOTP协议,管理员需要在BOOTP服务器上为每个BOOTP客户端配置BOOTP参数文件,该文件包括BOOTP客户端的MAC地址及其对应的IP地址等信息。当BOOTP客户端向BOOTP服务器发起请求时,服务器会查找BOOTP参数文件,并返回相应的配置信息。
BOOTP客户端从BOOTP服务器动态获取IP地址的具体过程如下:
(1) BOOTP客户端以广播方式发送BOOTP请求报文,其中包含了BOOTP客户端的MAC地址;
(2) BOOTP服务器接收到请求报文后,根据报文中的BOOTP客户端MAC地址,从配置文件数据库中查找对应的IP地址等信息,并向客户端返回包含这些信息的BOOTP响应报文;
(3) BOOTP客户端从接收到的响应报文中即可获得IP地址等信息。
由于DHCP服务器可以与BOOTP客户端进行交互,因此用户可以不配置BOOTP服务器,而使用DHCP服务器为BOOTP客户端分配IP地址。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
配置VLAN接口采用DHCP或BOOTP方式获取IP地址 |
ip address { bootp-alloc | dhcp-alloc } |
必选 缺省情况下,VLAN接口无IP地址 |
l 目前S2000-EA(SI)以太网交换机作为DHCP客户端,可以持续占用一个IP地址的最长时间为24天。也就是说,即使DHCP服务器端地址池的租约时间长于24天,DHCP客户端也只能获取24天的租期。
l S2000-EA(SI)以太网交换机作为DHCP客户端,支持默认路由下发功能,即:作为DHCP客户端的S2000-EA(SI)交换机获得DHCP服务器分配的IP地址的同时,会在交换机的路由表中添加一条默认路由表项,其下一跳地址为DHCP服务器上配置的网关地址。具体表项信息可在交换机上通过display ip routing-table命令查看。
S2000-EA(SI)以太网交换机为防止恶意用户对未使用SOCKET的攻击,提高交换机的安全性,提供了如下功能:
l 在启动DHCP功能时,才打开DHCP使用的UDP 67和UDP 68端口。
l 在关闭DHCP功能时,同时关闭UDP 67和UDP 68端口。
具体的实现是:
l 执行ip address dhcp-alloc命令启动DHCP客户端功能时,才打开DHCP使用的UDP 68端口。
l 执行undo ip address dhcp-alloc命令关闭DHCP客户端功能时,同时关闭UDP 68端口。
Switch A的端口(属于VLAN1)接入局域网,Vlan-interface1通过DHCP协议从DHCP服务器获取IP地址。
图3-2 DHCP组网图(S2000-EA(SI)作为DHCP客户端)
下面只列出作为DHCP客户端的Switch A上的配置。
# 配置Vlan-interface1通过DHCP动态获取地址。
<SwitchA> system-view
[SwitchA] interface Vlan-interface 1
[SwitchA-Vlan-interface1] ip address dhcp-alloc
表3-2 DHCP/BOOTP客户端显示
|
操作 |
命令 |
说明 |
|
查看DHCP客户端的相关信息 |
display dhcp client [ verbose ] |
可选 display命令可以在任意视图下执行 |
|
查看BOOTP客户端的相关信息 |
display bootp client [ interface Vlan-interface vlan-id ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
