- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-DHCP Snooping配置
本章节下载: 07-DHCP Snooping配置 (412.89 KB)
目 录
1.1.3 DHCP Snooping支持Option 82功能
1.4.1 在普通组网中配置DHCP Snooping基本功能
1.4.2 在VXLAN组网中配置DHCP Snooping基本功能
1.5 配置DHCP Snooping支持Option 82功能
1.7 配置接口动态学习DHCP Snooping表项的最大数目
1.12.3 显示和清除DHCP Snooping设备上的DHCP报文统计信息
DHCP Snooping是DHCP的一种安全特性。
DHCP Snooping设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。
网络中如果存在私自架设的非法DHCP服务器,则可能导致DHCP客户端获取到错误的IP地址和网络配置参数,从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCP报文。
· 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现:
· ARP快速应答:根据DHCP Snooping表项来判断是否进行ARP快速应答,从而减少ARP广播报文。ARP快速应答的详细介绍请参见“三层技术-IP业务配置指导”中的“ARP快速应答”。
· ARP Detection:根据DHCP Snooping表项来判断发送ARP报文的用户是否合法,从而防止非法用户的ARP攻击。ARP Detection的详细介绍请参见“安全配置指导”中的“ARP攻击防御”。
· IP Source Guard:通过动态获取DHCP Snooping表项对端口转发的报文进行过滤,防止非法报文通过该端口。IP Source Guard的详细介绍请参见“安全配置指导”中的“IP Source Guard”。
· VLAN映射:发送给用户的报文通过查找指定VLAN对应的DHCP Snooping表项中的DHCP客户端IP地址、MAC地址和原始VLAN的信息,将报文的指定VLAN修改为原始VLAN。VLAN映射的详细介绍请参见“二层技术-以太网交换配置指导”中的“VLAN映射”。
如图1-1所示,在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,以便DHCP Snooping设备正常转发DHCP服务器的应答报文,保证DHCP客户端能够从合法的DHCP服务器获取IP地址。
在多个DHCP Snooping设备级联的网络中,为了节省系统资源,不需要每台DHCP Snooping设备都记录所有DHCP客户端的IP地址和MAC地址的绑定信息,只需在与客户端直接相连不信任端口上记录绑定信息。间接与DHCP客户端相连的不信任端口不需要记录IP地址和MAC地址绑定信息。
图1-2 DHCP Snooping级联组网图
|
设备 |
记录绑定信息的不信任端口 |
不记录绑定信息的不信任端口 |
信任端口 |
|
Device A |
Port A1 |
Port A3 |
Port A2 |
|
Device B |
Port B3和Port B4 |
Port B1 |
Port B2 |
|
Device C |
Port C1 |
Port C3和Port C4 |
Port C2 |
Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option 82的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP概述”。
如果DHCP Snooping支持Option 82功能,则当设备接收到DHCP请求报文后,将根据报文中是否包含Option 82以及用户配置的处理策略及填充模式等对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。具体的处理方式见表1-2。DHCP Snooping对Option 82的处理策略、填充模式与DHCP中继相同。
DHCP Snoopng还支持填充Option82选项的Vendor-specific子选项,当DHCP Snooping收到DHCP请求报文后,会填充Option 82的Vendor-specific子选项并转发该报文。选项内容包括节点标识、设备用户侧的接口信息和用户所在VLAN的信息等。DHCP请求报文每经过一台DHCP Snooping,Vendor-specific子选项都会将当前DHCP Snooping设备的节点标识、设备用户侧的接口信息和用户所在VLAN的信息等添加到已有的Vendor-specific子选项中。管理设备收到DHCP请求报文后,通过解析报文中的Vendor-specific子选项就可以确定该请求报文经过的网络拓扑,方便定位用户所在的位置。
当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发。
表1-2 DHCP Snooping支持Option 82的处理方式
|
收到DHCP请求报文 |
处理策略 |
DHCP Snooping对报文的处理 |
|
收到的报文中带有Option 82 |
Append |
按照如下处理方式处理报文并进行转发: · 若配置了dhcp snooping information vendor-specific命令,则按照此命令配置的内容向Option 82的Vendor-specific子选项添加内容 · 若未配置dhcp snooping information vendor-specific命令,则保持该报文中的Option 82不变 |
|
Drop |
丢弃报文 |
|
|
Keep |
保持报文中的Option 82不变并进行转发 |
|
|
Replace |
根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,替换报文中原有的Option 82并进行转发 |
|
|
收到的报文中不带有Option 82 |
- |
根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,添加到报文中并进行转发 |
配置DHCP Snooping基本功能时,需要注意:
· 如果二层以太网接口加入聚合组,则在该接口上进行的DHCP Snooping相关配置不会生效;该接口退出聚合组后,之前的配置才会生效。
· 为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
· 目前,可以设置为DHCP Snooping信任端口的接口类型包括:二层以太网接口、二层聚合接口、三层以太网接口、三层聚合接口。关于聚合接口的详细介绍,请参见“二层技术-以太网交换配置指导”中的“以太网链路聚合”。
DHCP Snooping配置任务如下:
(2) (可选)配置DHCP Snooping支持Option 82功能
(3) (可选)配置DHCP Snooping表项固化功能
(4) (可选)配置接口动态学习DHCP Snooping表项的最大数目
(5) (可选)配置DHCP Snooping报文限速功能
(6) (可选)配置DHCP Snooping安全功能
(7) (可选)开启DHCP Snooping日志信息功能
(8) (可选)关闭接口的DHCP Snooping功能
在一台DHCP Snooping设备上,如果全局开启了DHCP Snooping功能,则设备上所有VLAN内的DHCP Snooping功能也同时开启。
对于某些组网来说,管理员只需要在设备在某些特定VLAN内开启DHCP Snooping功能,而不需要在整个设备上开启DHCP Snooping功能。为了满足此需求,设备支持在指定VLAN内开启DHCP Snooping功能,并在VLAN内配置DHCP Snooping信任端口和开启端口的DHCP Snooping表项记录功能。
在一台设备上,全局DHCP Snooping功能和VLAN内的DHCP Snooping功能关系如下:
· 如果全局开启了DHCP Snooping基本功能(包括开启DHCP Snooping功能、配置信任端口和配置DHCP Snooping表项记录功能),只能使用对应的全局命令关闭功能,使用VLAN内的命令关闭功能不生效;
· 如果VLAN内开启了DHCP Snooping基本功能(包括开启DHCP Snooping功能、配置信任端口和配置DHCP Snooping表项记录功能),只能使用对应的VLAN内命令关闭功能,使用全局命令关闭功能不生效。
(1) 进入系统视图。
system-view
(2) 全局开启DHCP Snooping功能。
dhcp snooping enable
缺省情况下,DHCP Snooping功能处于关闭状态。
(3) 进入接口视图。
interface interface-type interface-number
此接口为连接DHCP服务器的接口。
(4) 配置端口为信任端口。
dhcp snooping trust
缺省情况下,在开启DHCP Snooping功能后,设备的所有端口均为不信任端口。
(5) (可选)开启端口的DHCP Snooping表项记录功能。
a. 退回系统视图。
quit
b. 进入接口视图。
interface interface-type interface-number
此接口为连接DHCP客户端的接口。
c. 开启DHCP Snooping表项记录功能。
dhcp snooping binding record
缺省情况下,DHCP Snooping表项记录功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 在指定VLAN内开启DHCP Snooping功能。
dhcp snooping enable vlan vlan-id-list
缺省情况下,所有VLAN内的DHCP Snooping功能处于关闭状态。
(3) 进入VLAN视图。
vlan vlan-id
该VLAN为开启了DHCP Snooping功能的VLAN。
(4) 配置指定接口为VLAN下DHCP Snooping功能的信任端口。
dhcp snooping trust interface interface-type interface-number
缺省情况下,在开启DHCP Snooping功能后,VLAN内的所有接口均为不信任端口。
(5) (可选)开启VLAN的DHCP Snooping表项记录功能。
dhcp snooping binding record
缺省情况下,VLAN的DHCP Snooping表项记录功能处于关闭状态。
用户可以设置DHCP Snooping信任端口为VXLAN的AC链路或隧道接口。
当开启DHCP Snooping功能的VTEP设备收到DHCP请求报文时,将DHCP请求报文从信任的AC链路或隧道接口转发出去。
如果DHCP服务器位于本地站点内,则需要配置连接DHCP服务器的AC链路为信任接口;如果DHCP服务器位于远端站点内,则需要配置隧道接口为信任接口。
(1) 进入系统视图。
system-view
(2) 全局开启DHCP Snooping功能。
dhcp snooping enable
缺省情况下,DHCP Snooping功能处于关闭状态。
(3) 进入接口视图。
interface interface-type interface-number
(4) 进入以太网服务实例视图。
service-instance instance-id
(5) 配置AC链路为信任接口。
dhcp snooping trust
缺省情况下,在开启DHCP Snooping功能后,设备的所有端口均为不信任接口。
(6) (可选)开启端口的DHCP Snooping表项记录功能。
a. 退回接口视图。
quit
b. 退回系统视图。
quit
c. 进入VSI视图。
vsi vsi-name
d. 开启AC链路和隧道接口的DHCP Snooping表项记录功能。
dhcp snooping binding record
缺省情况下,AC链路和隧道接口的DHCP Snooping表项记录功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 全局开启DHCP Snooping功能。
dhcp snooping enable
缺省情况下,DHCP Snooping功能处于关闭状态。
(3) 进入VSI视图。
vsi vsi-name
(4) 配置隧道接口为信任接口。
dhcp snooping trust tunnel
缺省情况下,在开启DHCP Snooping功能后,设备的所有接口均为不信任接口。
配置本功能后,VSI下的所有VXLAN隧道接口都会变成信任接口。
(5) (可选)开启AC链路和隧道接口的DHCP Snooping表项记录功能。
dhcp snooping binding record
缺省情况下,AC链路和隧道接口隧道接口的DHCP Snooping表项记录功能处于关闭状态。
配置DHCP Snooping支持Option 82功能时,需要注意:
· 如果二层以太网接口加入聚合组,则在该接口上进行的DHCP Snooping支持Option 82功能的配置不会生效;该接口退出聚合组后,之前的配置才会生效。
· 为使Option 82功能正常使用,需要在DHCP服务器和DHCP Snooping设备上都进行相应配置。DHCP服务器的相关配置请参见“三层技术-IP业务配置指导”中的“DHCP服务器”。
· 如果以设备名称(sysname)作为节点标识填充DHCP报文的Option 82,则设备名称中不能包含空格;否则,DHCP Snooping将不处理该报文。用户可以通过sysname命令配置设备名称,该命令的详细介绍请参见“基本配置命令参考”中的“设备管理”。
· DHCP Snooping功能和QinQ功能同时使用,或DHCP Snooping设备接收到的DHCP报文带有两层VLAN Tag时,如果采用verbose模式填充Option 82,则sub-option 1中VLAN ID字段的格式为“第一层VLAN Tag.第二层VLAN Tag”。例如,第一层VLAN Tag为10(十六进制值为a),第二层VLAN Tag为20(十六进制值为14),则VLAN ID字段的内容为“000a.0014”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCP Snooping支持Option 82功能。
dhcp snooping information enable
缺省情况下,DHCP Snooping支持Option 82功能处于关闭状态。
(4) (可选)配置DHCP Snooping对包含Option 82的请求报文的处理策略。
dhcp snooping information strategy { append | drop | keep | replace }
缺省情况下,对带有Option 82的请求报文的处理策略为replace。
DHCP Snooping对包含Option 82请求报文的处理策略为append或replace时,需要配置Option 82的填充模式和填充格式;处理策略为keep或drop时,不需要配置Option 82的填充模式和填充格式。
(5) (可选)配置Circuit ID子选项的填充模式和填充格式。
dhcp snooping information circuit-id { bas | [ vlan vlan-id ] string circuit-id | { normal | verbose [ node-identifier { mac | sysname | user-defined node-identifier } ] } [ format { ascii | hex } ] }
缺省情况下,Circuit ID子选项的填充模式为Normal,填充格式为hex。
如果以设备的系统名称(sysname)作为节点标识填充DHCP报文的Option 82,则系统名称中不能包含空格;否则,DHCP Snooping添加或替换Option 82失败。
(6) (可选)配置Remote ID子选项的填充模式和填充格式。
dhcp snooping information remote-id { normal [ format { ascii | hex } ] | [ vlan vlan-id ] string remote-id | sysname }
缺省情况下,Remote ID子选项的填充模式为Normal,填充格式为hex。
(7) (可选)配置Vendor-specific子选项的填充模式。
dhcp snooping information vendor-specific [ vlan vlan-id ] bas [ node-identifier { mac | sysname | user-defined string } ]
缺省情况下,设备不会填充Option 82的Vendor-specific子选项。
DHCP Snooping设备重启后,设备上记录的DHCP Snooping表项将丢失,DHCP Snooping与安全模块(如IP Source Guard)配合使用,则表项丢失会导致安全模块无法通过DHCP Snooping获取到相应的表项,进而导致DHCP客户端不能顺利通过安全检查、正常访问网络。
DHCP Snooping表项固化功能将DHCP Snooping表项保存到指定的文件中,DHCP Snooping设备重启后,自动根据该文件恢复DHCPDHCP Snooping表项,从而保证DHCP Snooping表项不会丢失。
执行undo dhcp snooping enable命令关闭DHCP Snooping功能后,设备会删除所有DHCP Snooping表项,文件中存储的DHCP Snooping表项不会被马上删除,需要在下一次DHCP Snooping表项保存文件操作时才能删除所有的DHCP Snooping表项。
(1) 进入系统视图。
system-view
(2) 指定存储DHCP Snooping表项的文件名称。
dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }
缺省情况下,未指定存储文件名称。
执行本命令后,会立即触发一次表项备份。
(3) (可选)将当前的DHCP Snooping表项保存到用户指定的文件中。
dhcp snooping binding database update now
本命令只用来触发一次DHCP Snooping表项的备份。
(4) (可选)配置刷新DHCP Snooping表项存储文件的延迟时间。
dhcp snooping binding database update interval interval
缺省情况下,若DHCP Snooping表项不变化,则不刷新存储文件;若DHCP Snooping表项发生变化,默认在300秒之后刷新存储文件。
通过本配置可以限制接口动态学习DHCP Snooping表项的最大数目,以防止接口学习到大量DHCP Snooping表项,占用过多的系统资源。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口动态学习DHCP Snooping表项的最大数目。
dhcp snooping max-learning-num max-number
缺省情况下,不限制接口动态学习DHCP Snooping表项的数目。
为了避免非法用户发送大量DHCP报文,对网络造成攻击,DHCP Snooping支持报文限速功能,限制接口接收DHCP报文的速率。当接口接收的DHCP报文速率超过限制的最高速率时,DHCP Snooping设备将丢弃超过速率限制的报文。
如果二层以太网接口加入了聚合组,则该接口采用对应二层聚合接口下的DHCP Snooping报文限速配置,如果二层以太网接口离开聚合组,则该接口采用二层以太网接口下的DHCP Snooping报文限速配置。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCP Snooping的报文限速功能。
dhcp snooping rate-limit rate
缺省情况下, DHCP Snooping的报文限速功能处于关闭状态,即不限制接口接收DHCP报文的速率。
DHCP饿死攻击是指攻击者伪造chaddr字段各不相同的DHCP请求报文,向DHCP服务器申请大量的IP地址,导致DHCP服务器地址池中的地址耗尽,无法为合法的DHCP客户端分配IP地址,或导致DHCP服务器消耗过多的系统资源,无法处理正常业务。DHCP报文字段的相关内容请参见“三层技术-IP业务配置指导”中的“DHCP概述”。
如果封装DHCP请求报文的数据帧的源MAC地址各不相同,则通过mac-address max-mac-count命令限制端口可以学习到的MAC地址数,并配置学习到的MAC地址数达到最大值时,丢弃源MAC地址不在MAC地址表里的报文,能够避免攻击者申请过多的IP地址,在一定程度上缓解DHCP饿死攻击。此时,不存在DHCP饿死攻击的端口下的DHCP客户端可以正常获取IP地址,但存在DHCP饿死攻击的端口下的DHCP客户端仍可能无法获取IP地址。
如果封装DHCP请求报文的数据帧的MAC地址都相同,则通过mac-address max-mac-count命令无法防止DHCP饿死攻击。在这种情况下,需要开启DHCP Snooping的MAC地址检查功能。开启该功能后,DHCP Snooping设备检查接收到的DHCP请求报文中的chaddr字段和数据帧的源MAC地址字段是否一致。如果一致,则认为该报文合法,将其转发给DHCP服务器;如果不一致,则丢弃该报文。mac-address max-mac-count命令的详细介绍,请参见“二层技术-以太网交换”中的“MAC地址表”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCP Snooping的MAC地址检查功能。
dhcp snooping check mac-address
缺省情况下,DHCP Snooping的MAC地址检查功能处于关闭状态。
本功能用来检查DHCP续约报文、DHCP-DECLINE和DHCP-RELEASE三种DHCP请求方向的报文,以防止非法客户端伪造这三种报文对DHCP服务器进行攻击。
伪造DHCP续约报文攻击是指攻击者冒充合法的DHCP客户端,向DHCP服务器发送伪造的DHCP续约报文,导致DHCP服务器和DHCP客户端无法按照自己的意愿及时释放IP地址租约。如果攻击者冒充不同的DHCP客户端发送大量伪造的DHCP续约报文,则会导致大量IP地址被长时间占用,DHCP服务器没有足够的地址分配给新的DHCP客户端。
伪造DHCP-DECLINE/DHCP-RELEASE报文攻击是指攻击者冒充合法的DHCP客户端,向DHCP服务器发送伪造的DHCP-DECLINE/DHCP-RELEASE报文,导致DHCP服务器错误终止IP地址租约。
在DHCP Snooping设备上开启DHCP请求方向报文检查功能,可以有效地防止伪造DHCP请求方向报文攻击。如果开启了该功能,则DHCP Snooping设备接收到上述报文后,检查本地是否存在与请求方向报文匹配的DHCP Snooping表项。若存在,则接收报文信息与DHCP Snooping表项信息一致时,认为该报文为合法的DHCP请求方向报文,将其转发给DHCP服务器;不一致时,认为该报文为伪造的DHCP请求方向报文,将其丢弃。若不存在,则认为该报文合法,将其转发给DHCP服务器。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCP Snooping的DHCP请求方向报文检查功能。
dhcp snooping check request-message
缺省情况下,DHCP Snooping的DHCP请求方向报文检查功能处于关闭状态。
在某些组网环境下,用户需要在DHCP Snooping设备的某一端口上丢弃该端口收到的所有DHCP请求方向报文,而又不影响其他端口正常接收DHCP报文。这时,用户可以在该端口上开启DHCP Snooping报文阻断功能。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCP Snooping报文阻断功能。
dhcp snooping deny
缺省情况下,DHCP Snooping报文阻断功能处于关闭状态。
在端口上开启本功能后,DHCP Snooping设备会丢弃该端口收到的所有DHCP请求方向报文,这将导致该端口上的DHCP客户端无法申请到IP地址。因此,本功能只能在未连接DHCP客户端的端口上开启。
DHCP Snooping日志可以方便管理员定位问题和解决问题。DHCP Snooping设备生成DHCP Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
当DHCP Snooping设备输出大量日志信息时,可能会降低设备性能。为了避免该情况的发生,用户可以关闭DHCP Snooping日志信息功能,使得DHCP Snooping设备不再输出日志信息。
(1) 进入系统视图。
system-view
(2) 开启DHCP Snooping日志信息功能。
dhcp snooping log enable
缺省情况下,DHCP Snooping日志信息功能处于关闭状态。
当管理员在设备或VLAN中开启DHCP Snooping功能后,该设备或整个VLAN内的所有接口也都开启了DHCP Snooping功能。为了灵活控制DHCP Snooping功能生效的接口范围,用户可以通过本功能关闭某个接口上的DHCP Snooping功能。
(1) 进入系统视图。
system-view
(2) 进入接口视图
interface interface-type interface-number
(3) 关闭接口的DHCP Snooping功能。
dhcp snooping disable
缺省情况下,当接口所在VLAN或设备上已经开启DHCP Snooping功能,接口的DHCP Snooping功能是开启的;当接口所在VLAN或设备上未开启DHCP Snooping功能,接口的DHCP Snooping功能是关闭的。
可在任意视图下执行以下命令:
· 显示信任端口信息。
display dhcp snooping trust
· 显示DHCP Snooping上Option 82的配置信息。
display dhcp snooping information { all | interface interface-type interface-number }
可在任意视图下执行以下命令:
· 显示DHCP Snooping表项信息。
display dhcp snooping binding [ ip ip-address [ vlan vlan-id ] ] [ verbose ]
· 显示DHCP Snooping表项备份信息。
display dhcp snooping binding database
请在用户视图下执行以下命令,清除DHCP Snooping表项信息。
reset dhcp snooping binding { all | ip ip-address [ vlan vlan-id ] }
可在任意视图下执行以下命令,显示DHCP Snooping设备上的DHCP报文统计信息。
display dhcp snooping packet statistics [ slot slot-number ]
请在用户视图下执行以下命令,清除DHCP Snooping设备上的DHCP报文统计信息。
reset dhcp snooping packet statistics [ slot slot-number ]
Device B通过以太网端口HundredGigE1/0/1连接到合法DHCP服务器,通过以太网端口HundredGigE1/0/3连接到非法DHCP服务器,通过HundredGigE1/0/2连接到DHCP客户端。要求:
· 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。
图1-3 DHCP Snooping组网示意图
· 本举例中的物理接口需要工作在二层模式。缺省情况下,本设备的物理接口处于三层模式,请根据实际需要在对应接口视图下使用port link-mode命令切换接口的工作模式。
· 缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
# 全局开启DHCP Snooping功能。
<DeviceB> system-view
[DeviceB] dhcp snooping enable
# 设置HundredGigE1/0/1端口为信任端口。
[DeviceB] interface hundredgige 1/0/1
[DeviceB-HundredGigE1/0/1] dhcp snooping trust
[DeviceB-HundredGigE1/0/1] quit
# 在HundredGigE1/0/2上开启DHCP Snooping表项功能。
[DeviceB] interface hundredgige 1/0/2
[DeviceB-HundredGigE1/0/2] dhcp snooping binding record
[DeviceB-HundredGigE1/0/2] quit
配置完成后,DHCP客户端只能从合法DHCP服务器获取IP地址和其它配置信息,非法DHCP服务器无法为DHCP客户端分配IP地址和其他配置信息。且使用display dhcp snooping binding可查询到获取到的DHCP Snooping表项。
Device B通过以太网端口HundredGigE1/0/1连接到合法DHCP服务器,通过以太网端口HundredGigE1/0/3连接到非法DHCP服务器,通过HundredGigE1/0/2连接到DHCP客户端。要求:
· VLAN 100上与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。
图1-4 按VLAN开启DHCP Snooping配置组网示意图
· 本举例中的物理接口需要工作在二层模式。缺省情况下,本设备的物理接口处于三层模式,请根据实际需要在对应接口视图下使用port link-mode命令切换接口的工作模式。
· 缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
# 配置端口HundredGigE1/0/1、HundredGigE1/0/2和HundredGigE1/0/3为Access端口,允许VLAN 100通过。
<DeviceB> system-view
[DeviceB] vlan 100
[DeviceB-vlan100] port hundredgige 1/0/1 to hundredgige 1/0/3
[DeviceB-vlan100] quit
# 在VLAN100内开启DHCP Snooping功能。
[DeviceB] dhcp snooping enable vlan 100
# 指定端口HundredGigE1/0/1为VLAN 100下DHCP Snooping功能的信任端口。
[DeviceB] vlan 100
[DeviceB-vlan100] dhcp snooping trust interface hundredgige 1/0/1
# 在VLAN 100内开启DHCP Snooping表项记录功能。
[DeviceB-vlan100] dhcp snooping binding record
[DeviceB-vlan100] quit
配置完成后,DHCP客户端只能从合法DHCP服务器获取IP地址和其它配置信息,非法DHCP服务器无法为DHCP客户端分配IP地址和其他配置信息。且使用display dhcp snooping binding可查询到获取到的DHCP Snooping表项。
· Device B上开启DHCP Snooping功能,并支持Option 82功能;
· 对包含Option 82的请求报文的处理策略为replace;
· 在HundredGigE1/0/2上配置Circuit ID填充内容为company001,Remote ID填充内容为device001;
· 在HundredGigE1/0/3上配置Circuit ID以verbose模式填充,接入节点标识为sysname,填充格式为ASCII格式,Remote ID填充内容为device001;
图1-5 DHCP Snooping支持Option 82配置示意图
· 本举例中的物理接口需要工作在二层模式。缺省情况下,本设备的物理接口处于三层模式,请根据实际需要在对应接口视图下使用port link-mode命令切换接口的工作模式。
· 缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
# 开启DHCP Snooping功能。
<DeviceB> system-view
[DeviceB] dhcp snooping enable
# 设置HundredGigE1/0/1端口为信任端口。
[DeviceB] interface hundredgige 1/0/1
[DeviceB-HundredGigE1/0/1] dhcp snooping trust
[DeviceB-HundredGigE1/0/1] quit
# 在HundredGigE1/0/2上配置DHCP Snooping支持Option 82功能。
[DeviceB] interface hundredgige 1/0/2
[DeviceB-HundredGigE1/0/2] dhcp snooping information enable
[DeviceB-HundredGigE1/0/2] dhcp snooping information strategy replace
[DeviceB-HundredGigE1/0/2] dhcp snooping information circuit-id string company001
[DeviceB-HundredGigE1/0/2] dhcp snooping information remote-id string device001
[DeviceB-HundredGigE1/0/2] quit
# 在端口HundredGigE1/0/3上配置DHCP Snooping支持Option 82功能。
[DeviceB] interface hundredgige 1/0/3
[DeviceB-HundredGigE1/0/3] dhcp snooping information enable
[DeviceB-HundredGigE1/0/3] dhcp snooping information strategy replace
[DeviceB-HundredGigE1/0/3] dhcp snooping information circuit-id verbose node-identifier sysname format ascii
[DeviceB-HundredGigE1/0/3] dhcp snooping information remote-id string device001
配置完成后,使用display dhcp snooping information命令可查看到DHCP Snooping在端口HundredGigE1/0/2和HundredGigE1/0/3上Option 82的配置信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
