34-DHCP
本章节下载: 34-DHCP (565.78 KB)
指定设备的接口作为DHCP客户端后,可以使用DHCP协议从DHCP服务器动态获得IP地址等参数,方便用户配置,也便于集中管理。配置DHCP客户端即配置接口通过DHCP协议自动获取IP地址,详细配置请参见“VLAN虚接口”和“端口管理”,本章不对DHCP客户端的配置进行介绍。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)用来为网络设备动态地分配IP地址等网络配置参数。
DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台客户端(如PC和便携机),如下图所示。
图1-1 DHCP典型应用
针对客户端的不同需求,DHCP提供三种IP地址分配策略:
· 手工分配地址:由管理员为少数特定客户端(如WWW服务器等)静态绑定固定的IP地址。通过DHCP将配置的固定IP地址发给客户端。
· 自动分配地址:DHCP为客户端分配租期为无限长的IP地址。
· 动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,到达使用期限后,客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。
图1-2 IP地址动态获取过程
如上图所示,DHCP客户端从DHCP服务器动态获取IP地址,主要通过四个阶段进行:
(1) 发现阶段,即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCP-DISCOVER报文。
(2) 提供阶段,即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端的DHCP-DISCOVER报文后,根据IP地址分配的优先次序选出一个IP地址,与其他参数一起通过DHCP-OFFER报文发送给客户端。DHCP-OFFER报文的发送方式由DHCP-DISCOVER报文中的flag字段决定,具体请参见“1.3 DHCP报文格式”的介绍。
(3) 选择阶段,即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文,客户端只接受第一个收到的DHCP-OFFER报文,然后以广播方式发送DHCP-REQUEST报文,该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。
(4) 确认阶段,即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后,只有DHCP客户端选择的服务器会进行如下操作:如果确认将地址分配给该客户端,则返回DHCP-ACK报文;否则返回DHCP-NAK报文,表明地址不能分配给该客户端。
· 客户端收到服务器返回的DHCP-ACK确认报文后,会以广播的方式发送免费ARP报文,探测是否有主机使用服务器分配的IP地址,如果在规定的时间内没有收到回应,客户端才使用此地址。否则,客户端会发送DHCP-DECLINE报文给DHCP服务器,并重新申请IP地址。
· 如果网络中存在多个DHCP服务器,除DHCP客户端选中的服务器外,其它DHCP服务器中本次未分配出的IP地址仍可分配给其他客户端。
如果采用动态地址分配策略,则DHCP服务器分配给客户端的IP地址有一定的租借期限,当租借期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址,需要更新IP地址租约。
在DHCP客户端的IP地址租约期限达到一半时间时,DHCP客户端会向为它分配IP地址的DHCP服务器单播发送DHCP-REQUEST报文,以进行IP租约的更新。如果客户端可以继续使用此IP地址,则DHCP服务器回应DHCP-ACK报文,通知DHCP客户端已经获得新IP租约;如果此IP地址不可以再分配给该客户端,则DHCP服务器回应DHCP-NAK报文,通知DHCP客户端不能获得新的租约。
如果在租约的一半时间进行的续约操作失败,DHCP客户端会在租约期限达到7/8时,广播发送DHCP-REQUEST报文进行续约。DHCP服务器的处理方式同上,不再赘述。
DHCP有8种类型的报文,每种报文的格式相同,只是某些字段的取值不同。DHCP报文格式基于BOOTP的报文格式,具体格式如下图所示(括号中的数字表示该字段所占的字节)。
图1-3 DHCP报文格式
各字段的解释如下:
· op:报文的操作类型,分为请求报文和响应报文,1为请求报文;2为响应报文。具体的报文类型在option字段中标识。
· htype、hlen:DHCP客户端的硬件地址类型及长度。
· hops:DHCP报文经过的DHCP中继的数目。DHCP请求报文每经过一个DHCP中继,该字段就会增加1。
· xid:客户端发起一次请求时选择的随机数,用来标识一次地址请求过程。
· secs:DHCP客户端开始DHCP请求后所经过的时间。目前没有使用,固定为0。
· flags:第一个比特为广播响应标识位,用来标识DHCP服务器响应报文是采用单播还是广播方式发送,0表示采用单播方式,1表示采用广播方式。其余比特保留不用。
· ciaddr:DHCP客户端的IP地址。
· yiaddr:DHCP服务器分配给客户端的IP地址。
· siaddr:DHCP客户端获取IP地址等信息的服务器IP地址。
· giaddr:DHCP客户端发出请求报文后经过的第一个DHCP中继的IP地址。
· chaddr:DHCP客户端的硬件地址。
· sname:DHCP客户端获取IP地址等信息的服务器名称。
· file:DHCP服务器为DHCP客户端指定的启动配置文件名称及路径信息。
· options:可选变长选项字段,包含报文的类型、有效租期、DNS服务器的IP地址、WINS服务器的IP地址等配置信息。
为了与BOOTP(Bootstrap Protocol,自举协议)兼容,DHCP保留了BOOTP的消息格式。DHCP和BOOTP消息的不同主要体现在选项(Option)字段。DHCP在BOOTP基础上增加的功能,通过Option字段来实现。
DHCP利用Option字段传递控制信息和网络配置参数,实现地址的动态分配,为客户端提供更加丰富的网络配置信息。
DHCP选项的格式如下图所示。
图1-4 DHCP选项格式
常见的DHCP选项有:
· Option 3:路由器选项,用来指定为客户端分配的网关地址。
· Option 6:DNS服务器选项,用来指定为客户端分配的DNS服务器地址。
· Option 33:静态路由选项。该选项中包含一组有分类静态路由(即目的地址的掩码固定为自然掩码,不能划分子网),客户端收到该选项后,将在路由表中添加这些静态路由。如果Option 33和Option 121同时存在,则忽略Option 33。
· Option 51:IP地址租约选项。
· Option 53:DHCP消息类型选项,标识DHCP消息的类型。
· Option 55:请求参数列表选项。客户端利用该选项指明需要从服务器获取哪些网络配置参数。该选项内容为客户端请求的参数对应的选项值。
· Option 60:厂商标识选项。客户端利用该选项标识自己所属的厂商;DHCP服务器可以根据该选项区分客户端所属的厂商,并为其分配特定范围的IP地址。
· Option 66:TFTP服务器名选项,用来指定为客户端分配的TFTP服务器的域名。
· Option 67:启动文件名选项,用来指定为客户端分配的启动文件名。
· Option 121:无分类路由选项。该选项中包含一组无分类静态路由(即目的地址的掩码为任意值,可以通过掩码来划分子网),客户端收到该选项后,将在路由表中添加这些静态路由。如果Option 33和Option 121同时存在,则忽略Option 33。
· Option 150:TFTP服务器地址选项,用来指定为客户端分配的TFTP服务器的地址。
更多DHCP选项的介绍,请参见RFC 2132和RFC 3442。
有些选项的内容,RFC 2132中没有统一规定,例如Option 82选项。
Option 82称为中继代理信息选项,该选项记录了DHCP客户端的位置信息。DHCP中继或DHCP Snooping设备接收到DHCP客户端发送给DHCP服务器的请求报文后,在该报文中添加Option 82,并转发给DHCP服务器。
管理员可以从Option 82中获得DHCP客户端的位置信息,以便定位DHCP客户端,实现对客户端的安全和计费等控制。支持Option 82的服务器还可以根据该选项的信息制定IP地址和其他参数的分配策略,提供更加灵活的地址分配方案。
Option 82最多可以包含255个子选项。若定义了Option 82,则至少要定义一个子选项。目前设备只支持两个子选项:sub-option 1(Circuit ID,电路ID子选项)和sub-option 2(Remote ID,远程ID子选项)。
由于Option 82的内容没有统一规定,不同厂商通常根据需要进行填充。
设备上默认采用normal模式填充Option 82。normal填充模式中,子选项内容的填充格式可以是ASCII格式和HEX格式。子选项的内容如下:
· sub-option 1的内容是接收到DHCP客户端请求报文的接口属于的VLAN ID以及接口编号。如下图所示,子选项类型值为1,电路ID类型值为0。
图1-5 normal模式填充的sub-option 1
· sub-option 2的内容是接收到DHCP客户端请求报文的接口MAC地址(DHCP中继)或设备的桥MAC地址(DHCP Snooping设备)。如下图所示,子选项类型值为2,远程ID类型值为0。
图1-6 normal模式填充的sub-option 2
与DHCP相关的协议规范有:
· RFC 2131:Dynamic Host Configuration Protocol
· RFC 2132:DHCP Options and BOOTP Vendor Extensions
· RFC 1542:Clarifications and Extensions for the Bootstrap Protocol
· RFC 3046:DHCP Relay Agent Information Option
· RFC 3442:The Classless Static Route Option for Dynamic Host Configuration Protocol (DHCP) version 4
由于在IP地址动态获取过程中采用广播方式发送请求报文,因此DHCP只适用于DHCP客户端和服务器处于同一个子网内的情况。为进行动态主机配置,需要在所有网段上都设置一个DHCP服务器,这显然是很不经济的。
DHCP中继功能的引入解决了这一难题:客户端可以通过DHCP中继与其他网段的DHCP服务器通信,最终获取到IP地址。这样,多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。
下图是DHCP中继的典型应用示意图。
图2-1 DHCP中继的典型组网应用
通过DHCP中继完成动态配置的过程中,DHCP客户端与DHCP服务器的处理方式与不通过DHCP中继时的处理方式基本相同。下面只说明DHCP中继的转发过程,报文的具体交互过程请参见“1.2.2 IP地址动态获取过程”。
图2-2 DHCP中继的工作过程
如下图所示,DHCP中继的工作过程为:
(1) 具有DHCP中继功能的网络设备收到DHCP客户端以广播方式发送的DHCP-DISCOVER或DHCP-REQUEST报文后,将报文中的giaddr字段填充为DHCP中继的IP地址,并根据配置将报文单播转发给指定的DHCP服务器。
(2) DHCP服务器根据giaddr字段为客户端分配IP地址等参数,并通过DHCP中继将配置信息转发给客户端,完成对客户端的动态配置。
表2-1 DHCP中继配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 启动全局DHCP服务,配置DHCP的高级参数 缺省情况下,全局DHCP服务处于关闭状态 |
|
2 |
必选 为了提高可靠性,可以在一个网络中设置多个DHCP服务器,构成一个DHCP服务器组。当接口与DHCP服务器组建立归属关系后,会将客户端发来的DHCP报文转发给服务器组中的所有服务器 |
|
3 |
必选 配置接口工作在中继模式,并将接口与DHCP服务器组建立归属关系 缺省情况下,接口工作在DHCP服务器模式 DHCP中继只在IP地址为手工配置的接口上起作用 |
|
4 |
可选 配置静态用户地址表项,查看静态和动态用户地址表项信息 当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与MAC地址的绑定关系,生成DHCP中继的动态用户地址表项。同时,为满足用户采用合法固定IP地址访问外部网络的需求,DHCP中继也支持静态用户地址表项配置,即在DHCP中继上手工配置IP地址与MAC地址的绑定关系 缺省情况下,没有配置DHCP中继的静态用户地址表项 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面。
(2) 在“DHCP服务”中单击<显示高级配置>按钮,展开DHCP中继的高级参数,如下图所示。
(3) 启动DHCP服务,并配置DHCP中继高级参数,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-2 DHCP服务和DHCP中继高级参数的详细配置
配置项 |
说明 |
DHCP服务 |
设置是否启动全局DHCP服务 |
伪服务器检测 |
设置是否启动DHCP中继伪服务器检测功能 如果网络中有私自架设的DHCP服务器,当客户端申请IP地址时,这台DHCP服务器就会与DHCP客户端进行交互,导致客户端获得错误的IP地址,这种私设的DHCP服务器称为伪DHCP服务器 启动伪DHCP服务器检测功能后,DHCP中继会从接收到的DHCP报文中获取给客户端分配IP地址的服务器IP地址,并记录此IP地址及接收到报文的接口信息,以便管理员及时发现并处理伪DHCP服务器 · 启动伪DHCP服务器检测功能后,对所有DHCP服务器都会进行记录,包括合法的DHCP服务器,管理员需要从日志信息中查找伪DHCP服务器 · 启动伪DHCP服务器检测功能后,对每个DHCP服务器只记录一次。记录的DHCP服务器信息被清除后,将重新记录 |
表项定时刷新 |
设置是否启动DHCP中继动态用户地址表项定时刷新功能和刷新的时间间隔 当DHCP客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继会记录IP地址与MAC地址的绑定关系。由于DHCP客户端释放该IP地址时,会给DHCP服务器发送单播DHCP-RELEASE报文,DHCP中继不会处理该DHCP报文的内容,造成DHCP中继的用户地址项不能被实时刷新。为了解决这个问题,可以启动表项定时刷新功能。这样,每隔指定时间,DHCP中继以客户端分配到的IP地址和DHCP中继接口的MAC地址向DHCP服务器发送DHCP-REQUEST报文: · 如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内没有接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会将动态用户地址表中对应的表项老化掉 · 如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会老化该IP地址对应的表项 需要注意的是,当刷新时间间隔选择“Auto”时,表示根据表项的数目自动计算刷新时间间隔 |
刷新时间间隔 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面,参见图2-3。
(2) 在“服务器组”中单击<新建>按钮,进入新建DHCP服务器组的配置页面,如下图所示。
图2-4 新建DHCP服务器组
(3) 配置DHCP服务器组的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-3 DHCP服务器组的详细配置
配置项 |
说明 |
服务器组ID |
设置DHCP服务器组的ID 最多可以创建20个DHCP服务器组 |
IP地址 |
设置DHCP服务器组中服务器的IP地址 DHCP服务器组中服务器的IP地址不能与DHCP中继的接口IP地址在同一网段。否则,可能导致客户端无法获得IP地址 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面,参见图2-3。
(2) 在“接口设置”中单击某接口对应的图标,进入该接口DHCP中继功能的配置页面,如下图所示。
图2-5 DHCP中继接口设置
(3) 配置接口工作在DHCP中继模式,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-4 接口工作在DHCP中继模式的详细配置
配置项 |
说明 |
接口名称 |
显示要配置的接口的名称 |
DHCP中继 |
设置是否在接口上启动DHCP中继功能 如果设置关闭DHCP中继功能,则接口将启动DHCP服务器功能 |
地址匹配检查 |
设置是否在接口上启动地址匹配检查功能 启动地址匹配检查功能后,如果在DHCP中继的用户地址表中(包括DHCP中继动态记录的表项以及手工配置的用户地址表项)没有与主机IP地址和主机MAC地址匹配的表项,则该主机将不能通过DHCP中继访问外部网络。这样,可以防止非法主机静态配置一个IP地址并访问其他网络 |
服务器组ID |
设置将接口与DHCP服务器组建立归属关系,一个服务器组可以对应多个接口 |
(1) 在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面,参见图2-3。
(2) 在“用户信息”中单击<用户信息>按钮,进入用户地址表项的显示页面,可以查看静态和动态用户地址表项,如下图所示。
(3) 单击<新建>按钮,进入新建静态用户地址表项的配置页面,如下图所示。
图2-7 新建静态用户地址表项
(4) 配置静态用户地址表项的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
配置项 |
说明 |
IP地址 |
设置DHCP客户端的IP地址 |
MAC地址 |
设置DHCP客户端的MAC地址 |
接口名称 |
设置与DHCP客户端相连的三层接口 静态用户地址表项中的接口必须工作在DHCP中继模式,否则可能引起地址表项冲突 |
· 具有DHCP中继功能的Switch通过端口(属于VLAN1)连接到DHCP客户端所在的网络
· DHCP服务器的IP地址为10.1.1.1/24。
· 通过Switch转发DHCP报文,DHCP客户端可以从DHCP服务器上申请到10.10.1.0/24网段的IP地址及相关配置信息。
图2-8 DHCP中继配置组网图
(1) 启动DHCP服务。
步骤1:在导航栏中选择“网络 > DHCP”,默认进入“DHCP中继”页签的页面。
步骤2:如下图所示,选中DHCP服务“启动”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
图2-9 启动DHCP服务
(2) 配置DHCP服务器组。
步骤1:在“服务器组”中单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 输入服务器组ID为“1”。
· 输入IP地址为“10.1.1.1”。
步骤3:单击<确定>按钮完成操作。
图2-10 新建服务器组
(3) 配置接口Vlan-interface1工作在DHCP中继模式。
步骤1:在“接口设置”中单击Vlan-interface1对应的图标。
步骤2:进行如下配置,如下图所示。
· 选中DHCP中继“启动”前的单选按钮。
· 选择服务器组ID为“1”。
步骤3:单击<确定>按钮完成操作。
图2-11 DHCP中继接口设置
由于DHCP中继所在接口的IP地址与DHCP服务器的IP地址不在同一网段,因此需要在DHCP服务器上通过静态路由或动态路由协议保证两者之间路由可达。
设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。
DHCP Snooping是DHCP的一种安全特性,具有如下功能:
(1) 保证客户端从合法的服务器获取IP地址。
(2) 记录DHCP客户端IP地址与MAC地址的对应关系。
网络中如果存在私自架设的伪DHCP服务器,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCP报文。
· 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
连接DHCP服务器和其他DHCP Snooping设备的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户从DHCP服务器获取的IP地址和用户主机MAC地址的对应关系。DHCP Snooping可以实现该功能。
DHCP Snooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。利用这些信息可以实现如ARP Detection等功能。
如上图所示,连接DHCP服务器的端口需要配置为信任端口,以便DHCP Snooping设备正常转发DHCP服务器的应答报文,保证DHCP客户端能够从合法的DHCP服务器获取IP地址。
在多个DHCP Snooping设备级联的网络中,为了节省系统资源,不需要每台DHCP Snooping设备都记录所有DHCP客户端的IP地址和MAC地址绑定,只需在与客户端直接相连的DHCP Snooping设备上记录绑定信息。通过将间接与DHCP客户端相连的端口配置为不记录IP地址和MAC地址绑定的信任端口,可以实现该功能。如果DHCP客户端发送的请求报文从此类信任端口到达DHCP Snooping设备,DHCP Snooping设备不会记录客户端IP地址和MAC地址的绑定。
图3-2 DHCP Snooping级联组网图
上图中设备各端口的角色如下表所示。
设备 |
不信任端口 |
不记录绑定信息的信任端口 |
记录绑定信息的信任端口 |
Switch A |
GigabitEthernet1/0/1 |
GigabitEthernet1/0/3 |
GigabitEthernet1/0/2 |
Switch B |
GigabitEthernet1/0/3和GigabitEthernet1/0/4 |
GigabitEthernet1/0/1 |
GigabitEthernet1/0/2 |
Switch C |
GigabitEthernet1/0/1 |
GigabitEthernet1/0/3和GigabitEthernet1/0/4 |
GigabitEthernet1/0/2 |
Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option 82的详细介绍请参见“1.4.3 Option 82选项”。
如果DHCP Snooping支持Option 82功能,则当设备接收到DHCP请求报文后,将根据报文中是否包含Option 82以及用户配置的处理策略对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。具体的处理方式如下表所示。
当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发。
表3-2 DHCP Snooping支持Option 82的处理方式
收到DHCP请求报文 |
处理策略 |
DHCP Snooping对报文的处理 |
收到的报文中带有Option 82 |
Drop |
丢弃报文 |
Keep |
保持报文中的Option 82不变并进行转发 |
|
Replace |
采用normal模式填充Option 82,替换报文中原有的Option 82并进行转发 |
|
收到的报文中不带有Option 82 |
- |
采用normal模式填充Option 82并进行转发 |
步骤 |
配置任务 |
说明 |
1 |
必选 缺省情况下,DHCP Snooping功能处于关闭状态 |
|
2 |
必选 配置接口的信任属性和DHCP Snooping支持Option 82的相关参数 缺省情况下,在启动DHCP Snooping功能后,设备的所有接口的信任属性均为不信任;DHCP Snooping不支持Option 82功能 为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内 |
|
3 |
可选 查看DHCP Snooping记录的IP地址和MAC地址的绑定信息 |
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP Snooping”页签,进入如下图所示的页面。
(3) 选中DHCP Snooping“启动”前的单选按钮,即可启动DHCP Snooping功能。
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP Snooping”页签,进入如图3-3所示的页面。
(3) 在“接口设置”中单击某接口对应的图标,进入该接口DHCP Snooping功能的配置页面,如下图所示。
(4) 配置接口DHCP Snooping功能的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表3-4 接口DHCP Snooping功能的详细配置
配置项 |
说明 |
接口名称 |
显示要配置的接口的名称 |
信任属性 |
设置接口的信任属性为信任或非信任 |
添加Option 82选项 |
设置DHCP Snooping是否支持Option 82功能 |
Option 82选项策略 |
设置DHCP Snooping对包含Option 82的请求报文的处理策略,包括: · Drop:如果报文中带有Option 82,则丢弃该报文 · Keep:如果报文中带有Option 82,则保持该报文中的Option 82不变并进行转发 · Replace:如果报文中带有Option 82,则采用normal模式填充Option 82,替换报文中原有的Option 82,并进行转发 |
(1) 在导航栏中选择“网络 > DHCP”。
(2) 单击“DHCP Snooping”页签,进入如图3-3所示的页面。
(3) 在“用户信息”中单击<用户信息>按钮,进入DHCP Snooping用户信息的显示页面,如下图所示。
(4) 查看DHCP Snooping记录的IP地址和MAC地址的绑定信息,详细说明如下表所示。
表3-5 DHCP Snooping用户信息的详细说明
配置项 |
说明 |
IP地址 |
DHCP服务器为DHCP客户端分配的IP地址 |
MAC地址 |
DHCP客户端的MAC地址 |
类型 |
绑定类型,取值包括: · Dynamic:表示动态生成的IP地址和MAC地址绑定 · Static:表示静态配置的IP地址和MAC地址绑定,目前不支持静态配置 |
接口名称 |
与DHCP客户端连接的设备端口 |
VLAN |
与DHCP客户端连接的设备端口所属的VLAN |
租约剩余时间 |
绑定的租约剩余时间 |
Switch B通过以太网端口GigabitEthernet1/0/1连接到DHCP服务器,通过以太网端口GigabitEthernet1/0/2、GigabitEthernet1/0/3连接到DHCP客户端。要求:
· Switch B上启动DHCP Snooping功能,并支持Option 82功能;对包含Option 82的请求报文的处理策略为“Replace”。
· 与DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文中DHCP客户端IP地址及MAC地址的绑定关系。
图3-6 DHCP Snooping配置组网图
(1) 启动DHCP Snooping。
步骤1:在导航栏中选择“网络 > DHCP”。
步骤2:单击“DHCP Snooping”页签。
步骤3:如下图所示,选中DHCP Snooping“启动”前的单选按钮,即可完成操作。
(2) 配置接口GigabitEthernet1/0/1的DHCP Snooping功能。
步骤1:在“接口设置”中单击GigabitEthernet1/0/1对应的图标。
步骤2:如下图所示,选中信任属性“信任”前的单选按钮。
步骤3:单击<确定>按钮完成操作。
图3-8 配置接口GigabitEthernet1/0/1的DHCP Snooping功能
(3) 配置接口GigabitEthernet1/0/2的DHCP Snooping功能。
步骤1:在“接口设置”中单击GigabitEthernet1/0/2对应的图标。
步骤2:进行如下配置,如下图所示。
· 选中添加Option 82选项“使能”前的单选按钮。
· 选择Option 82选项策略为“Replace”。
步骤3:单击<确定>按钮完成操作。
图3-9 配置接口GigabitEthernet1/0/2的DHCP Snooping功能
(4) 配置接口GigabitEthernet1/0/3的DHCP Snooping功能。
步骤1:在“接口设置”中单击GigabitEthernet1/0/3对应的图标。
步骤2:进行如下配置,如下图所示。
· 选中信任属性“非信任”前的单选按钮。
· 选中添加Option 82选项“使能”前的单选按钮。
· 选择Option 82选项策略为“Replace”。
步骤3:单击<确定>按钮完成操作。
图3-10 配置接口GigabitEthernet1/0/3的DHCP Snooping功能
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!