- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-DHCP Snooping命令
本章节下载: 04-DHCP Snooping命令 (442.82 KB)
目 录
1.1.1 dhcp snooping alarm enable
1.1.2 dhcp snooping alarm threshold
1.1.3 dhcp snooping binding database filename
1.1.4 dhcp snooping binding database update interval
1.1.5 dhcp snooping binding database update now
1.1.6 dhcp snooping binding record
1.1.7 dhcp snooping check giaddr
1.1.8 dhcp snooping check mac-address
1.1.9 dhcp snooping check request-message
1.1.10 dhcp snooping client-detect
1.1.13 dhcp snooping enable vlan
1.1.14 dhcp snooping exhaustion trap enable
1.1.15 dhcp snooping information circuit-id
1.1.16 dhcp snooping information enable
1.1.17 dhcp snooping information remote-id
1.1.18 dhcp snooping information strategy
1.1.19 dhcp snooping information vendor-specific
1.1.20 dhcp snooping learning-num-threshold
1.1.21 dhcp snooping log enable
1.1.22 dhcp snooping max-learning-num
1.1.23 dhcp snooping rate-limit
1.1.24 dhcp snooping trap enable (interface view)
1.1.25 dhcp snooping trap enable (system view)
1.1.26 dhcp snooping trap threshold (interface view)
1.1.27 dhcp snooping trap threshold (system view)
1.1.29 dhcp snooping trust interface
1.1.30 display dhcp snooping alarm packet statistics
1.1.31 display dhcp snooping binding
1.1.32 display dhcp snooping binding database
1.1.33 display dhcp snooping information
1.1.34 display dhcp snooping packet statistics
1.1.35 display dhcp snooping trust
1.1.36 reset dhcp snooping alarm packet statistics
1.1.37 reset dhcp snooping binding
1.1.38 reset dhcp snooping packet statistics
1.1.39 snmp-agent trap enable dhcp snooping
设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。
dhcp snooping alarm enable命令用来开启DHCP Snooping报文丢弃告警功能。
undo dhcp snooping alarm enable命令用来关闭DHCP Snooping报文丢弃告警功能。
【命令】
dhcp snooping alarm { giaddr | mac-address | request-message } enable
undo dhcp snooping alarm { giaddr | mac-address | request-message } enable
【缺省情况】
DHCP Snooping报文丢弃告警功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
giaddr:DHCP请求方向报文的giaddr字段检查功能。
mac-address:DHCP Snooping的MAC地址检查功能。
request-message:DHCP Snooping的DHCP请求方向报文检查功能。
【使用指导】
开启本功能后,当指定检查功能丢弃的报文数等于通过dhcp snooping alarm threshold命令指定的报文丢弃告警阈值时,设备就会生成相应的告警日志信息。告警后当前统计数据即被清除,设备开启新一轮统计,当DHCP Snooping丢弃的报文数再次达到阈值时,设备会继续输出告警日志。生成的日志信息将会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
只有开启DHCP Snooping日志信息功能(通过dhcp snooping log enable命令),才能输出告警日志信息。
【举例】
# 开启DHCP请求方向报文的giaddr字段检查功能的报文丢弃告警功能。
<Sysname> system-view
[Sysname] dhcp snooping alarm giaddr enable
【相关命令】
· dhcp snooping alarm threshold
· dhcp snooping check giaddr
· dhcp snooping check mac-address
· dhcp snooping check request-message
· dhcp snooping log enable
dhcp snooping alarm threshold命令用来设置DHCP Snooping报文丢弃告警阈值。
undo dhcp snooping alarm threshold threshold命令用来恢复缺省情况。
【命令】
dhcp snooping alarm { giaddr | mac-address | request-message } threshold threshold
undo dhcp snooping alarm { giaddr | mac-address | request-message } threshold
【缺省情况】
DHCP Snooping报文丢弃的告警阈值为100。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
giaddr:DHCP请求方向报文的giaddr字段检查功能。
mac-address:DHCP Snooping的MAC地址检查功能。
request-message:DHCP Snooping的DHCP请求方向报文检查功能。
threshold:DHCP Snooping报文丢弃告警阈值,取值范围为1~1000,单位为个。
【使用指导】
设置DHCP Snooping报文丢弃的告警阈值后,当DHCP Snooping丢弃的报文数等于设置的报文丢弃告警阈值时,设备就会生成相应的告警日志信息。告警后当前统计数据即被清除,设备开启新一轮统计,当DHCP Snooping丢弃的报文数再次达到阈值时,设备会继续输出告警日志。
【举例】
# 设置DHCP请求方向报文的giaddr字段检查功能的报文丢弃告警阈值为2。
<Sysname> system-view
[Sysname] dhcp snooping alarm request-message threshold 2
【相关命令】
· dhcp snooping alarm enable
· dhcp snooping check giaddr
· dhcp snooping check mac-address
· dhcp snooping check request-message
dhcp snooping binding database filename命令用来指定存储DHCP Snooping表项的文件名称。
undo dhcp snooping binding database filename命令用来恢复缺省情况。
【命令】
dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }
undo dhcp snooping binding database filename
【缺省情况】
未指定存储文件名称。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
filename:目标文件名,为1~255个字符的字符串,不区分大小写,该配置用于本地存储模式。文件名取值范围的详细介绍,请参见“基础配置指导”中的“文件系统管理”。
url url:配置远程目标文件URL,为1~255个字符的字符串,区分大小写,该配置用于远程文件系统模式。此参数中不能包含用户名和密码,和参数username和string配合使用。远程目标文件URL是否支持路径格式遵循远程服务器端规格。
username username:配置登录远程目标文件URL时的用户名,为1~32个字符的字符串,区分大小写。如果未指定本参数,则表示登录远程目标文件URL时无需使用用户名。
cipher:表示以密文方式设置用户密码。
simple:表示以明文方式设置用户密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~32个字符的字符串,密文密码为1~73个字符的字符串。如果未指定本参数,则表示登录远程目标文件URL时无需使用密码。
【使用指导】
存储DHCP Snooping表项时,如果设备中还不存在对应名称的文件,则设备会自动创建该文件。
执行本命令后,会立即触发一次表项备份。之后,如果未配置dhcp snooping binding database update interval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件。如果配置了dhcp snooping binding database update interval命令,若表项发生变化,则到达刷新时间间隔后刷新存储文件;若表项未发生变化,则不再刷新存储文件。
参数filename不支持远程目标文件URL,配置远程目标文件URL请使用url、username、string配合使用。
频繁擦写本地存储介质可能会影响存储介质寿命,建议使用远程文件系统模式存储DHCP Snooping表项文件。
当进行远程存储时,支持FTP和TFTP协议:
· 当采用FTP或TFTP协议时,服务器地址支持IPv4形式或IPv6形式,并且支持DNS域名方式。服务器地址为IPv6地址形式时需使用方括号(“[”和“]”)引用。配置服务器地址为DNS域名格式时请勿使用方括号引用。
· 当采用FTP协议时,URL采用“ftp://服务器地址[:端口号]/文件路径”的形式,如有用户名和密码请分别使用参数username和参数string进行配置,用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则不用输入密码。
· 当采用TFTP协议时,URL采用“tftp://服务器地址[:端口号]/文件路径”的形式。
【举例】
# 配置存储DHCP Snooping表项的文件名为database.dhcp。
<Sysname> system-view
[Sysname] dhcp snooping binding database filename database.dhcp
# 配置远程存储DHCP Snooping表项至IP地址为1.1.1.1的ftp服务器工作目录下,用户名为1,密码为1,文件名为database.dhcp。
<Sysname> system-view
[Sysname] dhcp snooping binding database filename url ftp://10.1.1.1/database.dhcp username 1 password simple 1
# 配置远程存储DHCP Snooping表项至IP地址为10.1.1.1的tftp服务器工作目录下,文件名为database.dhcp。
<Sysname> system-view
[Sysname] dhcp snooping binding database filename url tftp://10.1.1.1/database.dhcp
【相关命令】
· dhcp snooping binding database update interval
dhcp snooping binding database update interval命令用来配置刷新DHCP Snooping表项存储文件的延迟时间。
undo dhcp snooping binding database update interval命令用来恢复缺省情况。
【命令】
dhcp snooping binding database update interval interval
undo dhcp snooping binding database update interval
【缺省情况】
若DHCP Snooping表项不变化,则不刷新存储文件;若DHCP Snooping表项发生变化,默认在300秒之后刷新存储文件。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:刷新延迟时间,取值范围为60~864000,单位为秒。
【使用指导】
执行本命令后,当DHCP Snooping表项发生变化后,DHCP Snooping设备开始计时,当本命令配置的延迟时间到达后,DHCP Snooping会把这个时间段内表项所有的变化信息备份到固化文件中。
如果未通过dhcp snooping binding database filename命令指定存储表项的文件,则本命令不会生效。
【举例】
# 若DHCP Snooping表项发生变化,在600秒后刷新表项存储文件。
<Sysname> system-view
[Sysname] dhcp snooping binding database update interval 600
【相关命令】
· dhcp snooping binding database filename
dhcp snooping binding database update now命令用来将当前的DHCP Snooping表项保存到用户指定的文件中。
【命令】
dhcp snooping binding database update now
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
本命令只用来触发一次DHCP Snooping表项的备份。
如果未通过dhcp snooping binding database filename命令指定存储表项的文件,则本命令不会生效。
【举例】
# 将当前的DHCP Snooping表项保存到文件中。
<Sysname> system-view
[Sysname] dhcp snooping binding database update now
【相关命令】
· dhcp snooping binding database filename
dhcp snooping binding record命令用来开启端口的DHCP Snooping表项记录功能。
undo dhcp snooping binding record命令用来关闭端口的DHCP Snooping表项记录功能。
【命令】
dhcp snooping binding record
undo dhcp snooping binding record
【缺省情况】
端口DHCP Snooping表项记录功能处于关闭状态。
【视图】
二层以太网接口视图/二层聚合接口视图
VLAN视图
【缺省用户角色】
network-admin
【使用指导】
用户可在DHCP Snooping设备直接与客户端连接的端口上开启DHCP Snooping表项记录功能。
在端口上开启DHCP Snooping表项记录功能后,设备将监听该端口上接收的报文,生成DHCP Snooping表项。
【举例】
# 开启端口GigabitEthernet1/0/1的DHCP Snooping表项记录功能。
<Sysname> system-view
[Sysname]interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping binding record
dhcp snooping check giaddr命令用来开启DHCP Snooping的DHCP请求方向报文的giaddr字段检查功能。
undo dhcp snooping check giaddr命令用来关闭DHCP Snooping的DHCP请求方向报文的giaddr字段检查功能。
【命令】
dhcp snooping check giaddr
undo dhcp snooping check giaddr
【缺省情况】
DHCP请求方向报文的giaddr字段检查功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
普通场景下,DHCP Snooping设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,才能正常工作。当DHCP Snooping收到的DHCP请求报文中的giaddr字段(记录了请求报文经过的第一跳DHCP中继的地址信息)不为0时,表示DHCP Snooping设备位于DHCP中继与DHCP服务器之间,此时DHCP Snooping无法正常工作。
开启本功能后,DHCP Snooping收到giaddr字段不为0的DHCP请求报文后,直接丢弃该报文。当丢弃的报文数大于或等于阈值时,DHCP Snooping会生成日志信息。管理员看到相关日志信息后,可以及时调整DHCP设备的位置,使DHCP Snooping可以正常工作。
【举例】
# 在接口GigabitEthernet1/0/1上开启DHCP Snooping的DHCP请求方向报文的giaddr字段检查功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping check giaddr
【相关命令】
· dhcp snooping alarm enable
· dhcp snooping alarm threshold
dhcp snooping check mac-address命令用来开启DHCP Snooping的MAC地址检查功能。
undo dhcp snooping check mac-address命令用来关闭DHCP Snooping的MAC地址检查功能。
【命令】
dhcp snooping check mac-address
undo dhcp snooping check mac-address
【缺省情况】
DHCP Snooping的MAC地址检查功能处于关闭状态。
【视图】
二层以太网接口视图/二层聚合接口视图
三层以太网接口视图/三层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
开启该功能后,DHCP Snooping检查接收到的DHCP请求报文中的chaddr字段和数据帧的源MAC地址字段是否一致。如果一致,则认为该报文合法,将其转发给DHCP服务器;如果不一致,则丢弃该报文。
【举例】
# 开启DHCP Snooping的MAC地址检查功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping check mac-address
dhcp snooping check request-message命令用来开启DHCP Snooping的DHCP请求方向报文检查功能。
undo dhcp snooping check request-message命令用来关闭DHCP Snooping的DHCP请求方向报文检查功能。
【命令】
dhcp snooping check request-message
undo dhcp snooping check request-message
【缺省情况】
DHCP Snooping的DHCP请求方向报文检查功能处于关闭状态。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
本功能用来检查DHCP续约报文、DHCP-DECLINE和DHCP-RELEASE三种DHCP请求方向的报文,以防止非法客户端伪造这三种报文对DHCP服务器进行攻击。
如果开启了该功能,则DHCP Snooping设备接收到上述报文后,检查本地是否存在与接收报文匹配的DHCP Snooping表项。若存在,则接收报文信息与DHCP Snooping表项信息一致时,认为该报文为合法的请求方向报文,将其转发给DHCP服务器;不一致时,认为该报文为伪造的请求方向报文,将其丢弃。若不存在,则认为该报文合法,将其转发给DHCP服务器。
【举例】
# 开启DHCP Snooping的DHCP请求方向报文检查功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping check request-message
dhcp snooping client-detect命令用来开启DHCP Snooping的用户下线探测功能。
undo dhcp snooping client-detect命令用来关闭DHCP Snooping的用户下线探测功能。
【命令】
dhcp snooping client-detect
undo dhcp snooping client-detect
【缺省情况】
DHCP Snooping的用户下线探测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当DHCP客户端非正常下线时,不会向DHCP服务器发送报文释放地址租约,这会使DHCP服务器上无法获知DHCP客户端下线,导致地址租约浪费。开启本功能后,当设备上的某条ARP表项老化后,DHCP Snooping就认为该表项对应的DHCP客户端已经下线,则会删除对应的DHCP Snooping表项,并构造DHCP-RELEASE报文通知DHCP服务器删除对应的IP地址租约。
开启本功能后,当配置DHCP Snooping的接口所处VLAN绑定VPN实例时,DHCP Snooping构造的DHCP-RELEASE报文无法转发出去。
【举例】
# 开启DHCP Snooping的用户下线探测功能。
<Sysname> system-view
[Sysname] dhcp snooping client-detect
dhcp snooping disable命令用来关闭接口的DHCP Snooping功能。
undo dhcp snooping disable命令用来恢复缺省情况。
【命令】
dhcp snooping disable
undo dhcp snooping disable
【缺省情况】
若接口所在设备或VLAN上已经开启DHCP Snooping功能,则接口的DHCP Snooping功能处于开启状态;若接口所在设备或VLAN上未开启DHCP Snooping功能,则接口的DHCP Snooping功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【使用指导】
当管理员在设备或VLAN中开启DHCP Snooping功能后,该设备或整个VLAN内的所有接口上也都开启了DHCP Snooping功能。为了能灵活控制DHCP Snooping功能生效的接口范围,用户可以通过本功能关闭某个接口上的DHCP Snooping功能。
【举例】
# 关闭接口GigabitEthernet1/0/1上的DHCP Snooping功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping disable
dhcp snooping enable命令用来全局开启DHCP Snooping功能。
undo dhcp snooping enable命令用来全局关闭DHCP Snooping功能。
【命令】
dhcp snooping enable
undo dhcp snooping enable
【缺省情况】
全局的DHCP Snooping功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
全局开启DHCP Snooping功能后,如果不信任端口接收到DHCP服务器发送的报文,将丢弃该报文,以保证客户端从合法的DHCP服务器获取IP地址。
在全局DHCP Snooping功能关闭后,所有端口都可转发DHCP服务器的响应报文。
【举例】
# 全局开启DHCP Snooping功能。
<Sysname> system-view
[Sysname] dhcp snooping enable
dhcp snooping enable vlan命令用来在指定VLAN内开启DHCP Snooping功能。
undo dhcp snooping enable vlan命令用来在指定VLAN内关闭DHCP Snooping功能。
【命令】
dhcp snooping enable vlan vlan-id-list
undo dhcp snooping enable vlan vlan-id-list
【缺省情况】
所有VLAN内的DHCP Snooping功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
vlan-id-list:VLAN列表,表示方式为vlan-id-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以重复输入10次。
【使用指导】
在指定VLAN内开启DHCP Snooping功能后,如果VLAN内的不信任端口接收到DHCP服务器发送的应答报文,该接口会丢弃该报文,以保证DHCP客户端从合法的DHCP服务器获取IP地址。
在指定VLAN内关闭DHCP Snooping功能后,该VLAN内所有接口都会转发DHCP服务器发送的应答报文。
【举例】
# 在VLAN 5、VLAN 10到VLAN 20和VLAN 32中开启DHCP Snooping功能。
<Sysname> system-view
[Sysname] dhcp snooping enable vlan 5 10 to 20 32
dhcp snooping exhaustion trap enable命令用来开启DHCP Snooping表项资源耗尽/恢复告警功能。
undo dhcp snooping exhaustion trap enable命令关闭DHCP Snooping表项资源耗尽/恢复告警功能。
【命令】
dhcp snooping exhaustion trap enable
undo dhcp snooping exhaustion trap enable
【缺省情况】
DHCP Snooping表项资源耗尽/恢复告警功能处于关闭状态。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
当动态学习到的DHCP Snooping绑定表项数目已经达到最大值,即资源耗尽时,设备会生成告警信息提示管理员表项资源已耗尽,新上线用户将生成不了绑定表项。
只有开启DHCP Snooping表项资源耗尽/恢复告警功能(执行snmp-agent trap enable dhcp snooping binding-exhaust命令)后,本命令才能生效。如果希望减少告警信息的生成,可以使用undo dhcp snooping exhaustion trap enable命令关闭部分接口的DHCP Snooping表项资源耗尽告警功能。
【举例】
# 在接口GigabitEthernet1/0/1下关闭DHCP Snooping表项资源耗尽/恢复告警功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sys-GigabitEthernet1/0/1] undo dhcp snooping exhaustion trap enable
【相关命令】
· snmp-agent trap enable dhcp snooping
dhcp snooping information circuit-id命令用来配置Option 82的Circuit ID子选项的填充模式和填充格式。
undo dhcp snooping information circuit-id命令用来恢复缺省情况。
【命令】
dhcp snooping information circuit-id { normal-extended | [ vlan vlan-id ] string circuit-id | { normal | verbose [ node-identifier { mac | sysname | user-defined node-identifier } ] } [ format { ascii | hex } ] }
undo dhcp snooping information circuit-id [ vlan vlan-id ]
【缺省情况】
Option 82的Circuit ID子选项的填充模式为Normal,填充格式为hex。
【视图】
二层以太网接口视图
二层聚合接口视图
VLAN视图
【缺省用户角色】
network-admin
【参数】
normal-extended:指定以Normal-extended模式填充Circuit ID子选项,填充内容为接口所属的VLAN ID、接口所在的slot编号和接口编号。
vlan vlan-id:为从指定VLAN内收到的DHCP报文填充Circuit ID子选项。如果未指定本参数,则表示为缺省VLAN内收到的DHCP报文填充Circuit ID子选项。VLAN视图下不支持指定本参数。
string circuit-id:指定以用户配置的字符串填充Circuit ID子选项。circuit-id表示用户配置的用来填充Circuit ID子选项的内容,为3~63个字符的字符串,区分大小写。
normal:指定以Normal模式填充Circuit ID子选项,填充内容为VLAN ID和端口号。
verbose:指定以Verbose模式填充Circuit ID子选项。填充的内容为节点标识、接口信息和接口所在的VLAN编号。节点标识缺省以节点的MAC地址构成;接口信息缺省由以太网类型(取值固定为“eth”)、框号、槽号、子槽号和接口编号组成。
node-identifier { mac | sysname | user-defined node-identifier }:指定接入节点的标识。
· mac:表示以节点的MAC地址作为节点标识。
· sysname:表示以节点的设备名称作为节点标识。设备的系统名称可以通过系统视图下的sysname命令配置。不管配置了哪种填充格式,设备的系统名称始终采用ASCII码格式填充。
· user-defined node-identifier:表示以指定的字符串作为节点标识,node-identifier为1~50个字符的字符串,区分大小写。不管配置了哪种填充格式,指定的字符串始终采用ASCII码格式填充。
format:指定Circuit ID子选项的填充格式。
ascii:指定以ASCII码格式填充Circuit ID子选项,即将数值转换为对应的ASCII码填充到Circuit ID子选项。
hex:指定以十六进制数值的格式填充Circuit ID子选项。
【使用指导】
以用户配置的字符串填充Circuit ID子选项时,填充格式固定为ASCII码格式。
不同填充模式下的填充格式有所不同:
· 如果本命令中未指定填充格式:
¡ 对于Normal模式,VLAN ID和端口号均以hex格式填充。
¡ 对于Verbose模式,节点标识(MAC地址、设备的系统名称或指定的字符串)、以太网类型、框号、槽号、子槽号、接口编号均以ASCII码格式填充,VLAN ID以hex格式填充。
· 如果本命令中指定填充格式为ascii,则所有内容均以ASCII码格式填充。
· 如果本命令中指定填充格式为hex,
¡ 对于Normal模式,VLAN ID和端口号均以hex格式填充。
¡ 对于Verbose模式,设备的节点标识、以太网类型以ASCII码格式填充,其余内容均以hex格式填充。
如果以设备的系统名称(sysname)作为节点标识填充DHCP报文的Option 82,则系统名称中不能包含空格;否则,DHCP Snooping添加或替换Option 82失败
Option 82的Circuit ID子选项信息中无法携带接口拆分信息或子接口信息,关于“接口拆分”和“子接口”的详细介绍,请参见“接口管理配置指导”中的“以太网接口”。
多次执行该命令,最后一次执行的命令生效。
【举例】
# 配置以Verbose模式填充Option 82的Circuit ID子选项,节点标识为设备的系统名称,填充格式为ASCII码格式。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping information enable
[Sysname-GigabitEthernet1/0/1] dhcp snooping information strategy replace
[Sysname-GigabitEthernet1/0/1] dhcp snooping information circuit-id verbose node-identifier sysname format ascii
【相关命令】
· dhcp snooping information enable
· dhcp snooping information strategy
· display dhcp snooping information
dhcp snooping information enable命令用来开启DHCP Snooping支持Option 82功能。
undo dhcp snooping information enable命令用来关闭DHCP Snooping支持Option 82功能。
【命令】
dhcp snooping information enable
undo dhcp snooping information enable
【缺省情况】
DHCP Snooping支持Option 82功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
VLAN视图
【缺省用户角色】
network-admin
【使用指导】
开启DHCP Snooping支持Option 82功能后,DHCP Snooping将向转发给DHCP服务器的请求报文中增加Option 82选项。选项内容由dhcp snooping information circuit-id和dhcp snooping information remote-id决定。如果DHCP Snooping收到的请求报文中已经包含Option 82选项,则按照dhcp snooping information strategy配置的策略处理请求报文。
【举例】
# 开启DHCP Snooping支持Option 82功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping information enable
【相关命令】
· dhcp snooping information circuit-id
· dhcp snooping information remote-id
· dhcp snooping information strategy
dhcp snooping information remote-id命令用来配置Option 82的Remote ID子选项的填充模式和填充格式。
undo dhcp snooping information remote-id命令用来恢复缺省情况。
【命令】
二层以太网接口视图/二层聚合接口视图/VLAN视图:
dhcp snooping information remote-id { normal [ format { ascii | hex } ] | [ vlan vlan-id ] { hex remote-id | string remote-id | sysname } }
undo dhcp snooping information remote-id [ vlan vlan-id ]
【缺省情况】
Option 82的Remote ID子选项的填充模式为Normal、填充格式为hex。
【视图】
二层以太网接口视图
二层聚合接口视图
VLAN视图
【缺省用户角色】
network-admin
【参数】
none:不封装Remote ID子选项。
normal:指定以Normal模式填充Remote ID子选项,填充内容为设备的桥MAC地址。
format:指定Remote ID子选项的填充格式。如果未指定本参数,则以hex模式填充。
ascii:指定以ASCII码格式填充Remote ID子选项,即将数值转换为对应的ASCII码填充到Remote ID子选项。
hex:指定以十六进制数值的格式填充Remote ID子选项。
vlan vlan-id:为从指定VLAN内收到的DHCP报文填充Remote ID子选项。如果未指定本参数,则表示为缺省VLAN内收到的DHCP报文填充Remote ID子选项。VLAN视图下不支持指定本参数。
hex remote-id:指定以十六进制方式填充Remote ID子选项。remote-id表示用户配置的用来填充Remote ID子选项的内容,为2~256个字符的字符串,不区分大小写。
string remote-id:指定以用户配置的字符串填充Remote ID子选项。remote-id表示用户配置的用来填充Remote ID子选项的内容,为1~63个字符的字符串,区分大小写。
sysname:指定以设备的系统名称填充Remote ID子选项。设备的系统名称可以通过系统视图下的sysname命令配置。
【使用指导】
不同填充模式下的填充格式有所不同:
· 以用户配置的字符串(string)和设备的系统名称(sysname)填充Remote ID子选项时,填充内容固定为ASCII格式。
· 以Normal模式填充Remote ID子选项时,填充内容的格式由本命令配置的填充格式决定。
· 选择None模式时,不填充Remote ID子选项。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用字符串device001填充Option 82的Remote ID子选项。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping information enable
[Sysname-GigabitEthernet1/0/1] dhcp snooping information strategy replace
[Sysname-GigabitEthernet1/0/1] dhcp snooping information remote-id string device001
【相关命令】
· dhcp snooping information enable
· dhcp snooping information strategy
· display dhcp snooping information
dhcp snooping information strategy命令用来配置DHCP Snooping对包含Option 82的请求报文的处理策略。
undo dhcp snooping information strategy命令用来恢复缺省情况。
【命令】
dhcp snooping information strategy { append | drop | keep | replace }
undo dhcp snooping information strategy
【缺省情况】
对带有Option 82的请求报文的处理策略为replace。
【视图】
二层以太网接口视图
二层聚合接口视图
VLAN视图
【缺省用户角色】
network-admin
【参数】
append:按照如下处理方式处理报文,并进行转发:
· 如果报文中未带有Option 82,则按照配置的填充模式填充Option 82;
· 如果报文中带有Option 82:
¡ 若配置了dhcp snooping information vendor-specific命令,则按照此命令配置的内容向Option 82的Vendor-specific子选项添加内容;
¡ 若未配置dhcp snooping information vendor-specific命令,则保持该报文中的Option 82不变。
drop:如果报文中带有Option 82,则丢弃该报文。
keep:如果报文中带有Option 82,则保持该报文中的Option 82不变并进行转发。
replace:不管报文中是否带有Option 82,都按照配置的填充模式填充Option 82,用该选项替换报文中原有的Option 82,并进行转发。
【使用指导】
本命令仅对包含Option 82的请求报文有效。
如果开启了DHCP Snooping支持Option 82功能,则对于接收到的不包含Option 82的请求报文,DHCP Snooping的处理方式始终为在请求报文中添加Option 82,并将报文转发给DHCP服务器。
DHCP Snooping对包含Option 82请求报文的处理策略为replace时,需要配置Option 82的填充模式和填充格式;处理策略为keep或drop时,不需要配置Option 82选项的填充模式和填充格式。
【举例】
# 配置DHCP Snooping对带有Option 82的请求报文使用keep策略。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping information enable
[Sysname-GigabitEthernet1/0/1] dhcp snooping information strategy keep
【相关命令】
· dhcp snooping information circuit-id
· dhcp snooping information remote-id
· dhcp snooping information vendor-specific
dhcp snooping information vendor-specific命令用来配置Option 82的Vendor-specific子选项的填充模式。
undo dhcp snooping information vendor-specific命令用来恢复缺省情况。
【命令】
dhcp snooping information vendor-specific [ vlan vlan-id ] bas [ node-identifier { mac | sysname | user-defined string } ]
undo dhcp snooping information vendor-specific [ vlan vlan-id ]
【缺省情况】
设备不会填充Option 82的Vendor-specific子选项。
【视图】
二层以太网接口视图
二层聚合接口视图
VLAN视图
【缺省用户角色】
network-admin
【参数】
vlan vlan-id:为从指定VLAN内收到的DHCP报文填充Vendor-specific子选项。如果未指定本参数,则表示为接口收到的所有DHCP报文填充Vendor-specific子选项。VLAN视图下不支持指定本参数。
bas:表示使用工信部规范的格式填充Vendor-specific子选项。
node-identifier:指定接入节点标识。如果未指定本参数,则缺省以节点的桥MAC地址作为标识。不管采用哪种方式,都是用ASCII码格式填充。
· mac:表示以节点的桥MAC地址作为节点标识。
· sysname:表示以节点的设备名称作为节点标识。设备的系统名称可以通过系统视图下的sysname命令配置。设备名称不能包含空格,否则DHCP Snooping设备无法正常添加Vendor-specific子选项内容;若设备名称长度超过50个字符,则只截取前50个字符。
· user-defined string:表示以指定的字符串作为节点标识,string为1~50个字符的字符串,区分大小写,不能包含空格。
【使用指导】
执行了本命令后,DHCP snooping收到DHCP请求报文后,会填充Option 82的Vendor-specific子选项并转发该报文。
如果收到的DHCP请求报文中的Option 82选项长度已经到达上限,DHCP Snooping直接转发该报文,不会继续填充Vendor-specific子选项。
【举例】
# 在接口GigabitEthernet1/0/1上配置DHCP Snooping以bas模式填充Option 82的Vendor-specific子选项,节点标识为设备的系统名称。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping information enable
[Sysname-GigabitEthernet1/0/1] dhcp snooping information vendor-specific bas node-identifier sysname
【相关命令】
· dhcp snooping information enable
· dhcp snooping information strategy
dhcp snooping learning-num-threshold命令用来设置DHCP Snooping表项资源使用率的告警门限阈值。
undo dhcp snooping learning-num-threshold命令用来恢复缺省情况。
【命令】
dhcp snooping learning-num-threshold threshold-value
undo dhcp snooping learning-num-threshold
【缺省情况】
DHCP Snooping的表项使用率告警门限阈值为100%。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
threshold-value:表项资源使用率告警阈值,为百分比形式,取值范围为1~100。
【使用指导】
DHCP Snooping表项资源使用率=已经动态学习到的表项数目/允许动态学习的表项最大数目(通过dhcp snooping max-learning-num命令配置)。
当DHCP Snooping表项资源使用率大于等于本命令配置的阈值时,DHCP Snooping会生成告警信息提醒管理员。同时,设备将不会为该接口后续新上线的DHCP Snooping用户生成绑定表项,但是DHCP Snooping功能正常运行。当表项资源使用率重新下降到低于阈值时,DHCP Snooping同样会生成告警信息。
在同一个视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 在接口GigabitEthernet1/0/1下设置表项资源使用率告警门限阈值为75%。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping learning-num-threshold 75
【相关命令】
· dhcp snooping max-learning-num
· snmp-agent trap enable dhcp snooping
dhcp snooping log enable命令用来开启DHCP Snooping日志信息功能。
undo dhcp snooping log enable命令关闭DHCP Snooping日志信息功能。
【命令】
dhcp snooping log enable
undo dhcp snooping log enable
【缺省情况】
DHCP Snooping日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
DHCP Snooping日志可以方便管理员定位问题和解决问题。DHCP Snooping设备生成DHCP Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
当DHCP Snooping设备输出大量日志信息时,可能会降低设备性能。为了避免该情况的发生,用户可以关闭DHCP Snooping日志信息功能,使得DHCP Snooping设备不再输出日志信息。
【举例】
# 开启DHCP Snooping日志信息功能。
<Sysname> system-view
[Sysname] dhcp snooping log enable
dhcp snooping max-learning-num命令用来配置接口动态学习DHCP Snooping表项的最大数目。
undo dhcp snooping max-learning-num命令用来恢复缺省情况。
【命令】
dhcp snooping max-learning-num max-number
undo dhcp snooping max-learning-num
【缺省情况】
不限制接口动态学习DHCP Snooping表项的最大数目。
【视图】
二层以太网接口视图/二层聚合接口视图
三层以太网接口视图/三层聚合接口视图
【缺省用户角色】
network-admin
【参数】
max-number:接口动态学习DHCP Snooping表项的最大数目。取值范围为1~4294967295。
【使用指导】
接口动态学习的DHCP Snooping表项数达到最大数目后,不影响DHCP Snooping功能正常运行,但是接口不会继续学习新的DHCP Snooping表项。
【举例】
# 配置接口GigabitEthernet1/0/1动态学习DHCP Snooping表项的最大数目为10。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping max-learning-num 10
dhcp snooping rate-limit命令用来开启DHCP Snooping的报文限速功能,即限制接口接收DHCP报文的速率。
undo dhcp snooping rate-limit命令用来关闭DHCP Snooping的报文限速功能。
【命令】
dhcp snooping rate-limit rate
undo dhcp snooping rate-limit
【缺省情况】
DHCP Snooping的报文限速功能处于关闭状态,即不限制接口接收DHCP报文的速率。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
rate:接口接收DHCP报文的最高速率,单位为Kbps。本参数的取值范围与设备的型号有关,取值范围为64~512。
【使用指导】
只有开启DHCP Snooping功能后,本命令的配置才会生效。
如果接口接收到的DHCP报文速率超过了限制,则丢弃超过速率限制的DHCP报文。
如果二层以太网接口加入了聚合组,则该接口采用对应二层聚合接口下的DHCP报文限速配置。如果二层以太网接口离开聚合组,则该接口采用二层以太网接口下的DHCP报文限速配置。
【举例】
# 配置二层以太网接口GigabitEthernet1/0/1接收DHCP报文的最高速率为64Kbps。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping rate-limit 64
dhcp snooping trap enable命令用来开启指定接口上的DHCP Snooping报文丢弃告警功能。
undo dhcp snooping trap enable命令用来关闭指定接口上的DHCP Snooping报文丢弃告警功能。
【命令】
dhcp snooping trap { binding-mismatch | chaddr-mismatch | rate-limit | untrust-reply software } enable
undo dhcp snooping trap { binding-mismatch | chaddr-mismatch | rate-limit | untrust-reply software } enable
【缺省情况】
接口上DHCP Snooping所有类型的报文丢弃告警功能均处于关闭状态。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
binding-mismatch:表示与DHCP Snooping表项不匹配而被丢弃的DHCP报文数达到阈值时的告警功能。
chaddr-mismatch:表示数据帧头MAC地址与DHCP报文中的CHADDR字段不一致而被丢弃的报文数达到阈值时的告警功能。
rate-limit:表示因接收的报文速率超过限速值而被丢弃的DHCP报文数达到阈值时的告警功能。
untrust-reply software:表示非信任接口通过CPU软件端丢弃的DHCP服务器回应报文数达到阈值时的告警功能。
【使用指导】
开启本功能后,当接口丢弃的DHCP报文数等于通过dhcp snooping trap threshold命令指定的告警阈值后,设备就会发送告警信息。
本功能仅在通过snmp-agent trap enable dhcp snooping命令开启相应的DHCP Snooping告警功能的情况下才能生效。如果希望减少告警信息的生成,可以使用undo dhcp snooping trap enable命令关闭部分接口的DHCP Snooping报文丢弃告警功能。
【举例】
# 在接口GigabitEthernet1/0/1下关闭与DHCP Snooping表项不匹配而被丢弃的DHCP报文数达到阈值时的告警功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping trap binding-mismatch enable
【相关命令】
· dhcp snooping trap threshold(interface view)
· dhcp snooping trap enable(system view)
· dhcp snooping trap threshold(system view)
· snmp-agent trap enable dhcp snooping
dhcp snooping trap enable命令用来开启全局DHCP Snooping报文丢弃告警功能。
undo dhcp snooping trap enable命令用来关闭全局DHCP Snooping报文丢弃告警功能。
【命令】
dhcp snooping trap { rate-limit | untrust-reply { software | hardware } } enable
undo dhcp snooping trap { rate-limit | untrust-reply { software | hardware } } enable
【缺省情况】
全局DHCP Snooping所有类型的报文丢弃告警功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
rate-limit:表示因接收的报文速率超过限速值而被丢弃的DHCP报文数达到阈值时的告警功能。
untrust-reply:表示非信任接口丢弃DHCP服务器回应报文数达到阈值时的告警功能。
· software:表示非信任接口接收到的DHCP服务器回应报文上送CPU后通过软件端丢弃的数目达到阈值时的告警功能。
· hardware:表示非信任接口接收到的DHCP服务器回应报文通过设备硬件驱动丢弃的数目达到阈值时的告警功能。
【使用指导】
开启因接收的报文速率超过限速值而被丢弃的DHCP报文数达到阈值时的告警功能后,当接口丢弃的报文数等于dhcp snooping trap threshold rate-limit命令设置的告警阈值时,设备会发送告警信息。
开启非信任接口丢弃DHCP服务器回应报文数达到阈值时的告警功能后,因为CPU软件端和硬件驱动属于不同的丢弃途径且丢弃的报文不重合,因此是分别基于各自的统计数据触发告警:
· 指定software参数时,CPU软件端将基于单个非信任接口对丢弃的DHCP服务器回应报文数进行统计计数,单个接口上丢弃的报文数达到阈值时,都将发送告警信息。
· 指定hardware参数时,设备硬件不区分接口,将基于全局对所有非信任接口丢弃的DHCP服务器回应报文数进行统计计数,全局丢弃的报文数达到阈值时,才会发送告警信息。
告警后当前统计数据保留,设备会继续进行统计计数,但不再生成告警信息。只有通过reset dhcp snooping packet statistics命令清除报文统计信息后,当丢弃报文数再次达到阈值时,设备才会再次生成告警信息。
本功能仅在通过snmp-agent trap enable dhcp snooping命令开启相应的DHCP Snooping告警功能的情况下生效。
DHCP Snooping报文丢弃告警功能支持在全局和接口视图下配置。全局配置对所有接口生效:
· 全局报文丢弃告警功能开启时,在接口视图下执行undo dhcp snooping trap enable命令,仅关闭该接口的报文丢弃告警功能。
· 全局报文丢弃告警功能关闭时,在接口视图下配置dhcp snooping trap enable命令,仅开启该接口的报文丢弃告警功能。
【举例】
# 开启DHCP Snooping接收的报文速率超过限速值而被丢弃的DHCP报文数达到阈值时的告警功能。
<Sysname> system-view
[Sysname] dhcp snooping trap rate-limit enable
【相关命令】
· dhcp snooping trap threshold(system view)
· snmp-agent trap enable dhcp snooping
dhcp snooping trap threshold命令用来设置DHCP Snooping报文丢弃的告警阈值。
undo dhcp snooping trap threshold命令用来恢复缺省情况。
【命令】
dhcp snooping trap { binding-mismatch | chaddr-mismatch | rate-limit | untrust-reply software } threshold threshold
undo dhcp snooping trap { binding-mismatch | chaddr-mismatch | rate-limit | untrust-reply software } threshold
【缺省情况】
以全局系统视图下配置的告警阈值为准。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
binding-mismatch:设置与DHCP Snooping表项不匹配而被丢弃的DHCP请求报文数的告警阈值。
chaddr-mismatch:设置数据帧头MAC地址与DHCP报文中的CHADDR字段不一致而被丢弃的DHCP报文数的告警阈值。
rate-limit:设置因接收到的DHCP请求报文速率超过限速值而被丢弃的DHCP报文数的告警阈值。
untrust-reply software:设置非信任接口通过CPU软件端丢弃的DHCP服务器回应报文数的告警阈值。
threshold:DHCP Snooping报文丢弃的告警阈值,取值范围为1~1000,单位为个。
【使用指导】
设置DHCP Snooping报文丢弃的告警阈值后,当通过snmp-agent trap enable dhcp snooping命令开启指定的报文丢弃告警功能后,DHCP Snooping丢弃的报文数等于设置的告警阈值时,设备将会生成相应的告警信息。
除了接口视图,DHCP Snooping报文丢弃的告警阈值还支持在系统视图下配置。系统视图下对应的告警阈值配置命令如下:
· 设置与DHCP Snooping表项不匹配而被丢弃的DHCP请求报文数的告警阈值:dhcp snooping alarm request-message threshold。
· 设置数据帧头MAC地址与DHCP报文中的CHADDR字段不一致而被丢弃的DHCP报文数的告警阈值:dhcp snooping alarm mac-address threshold。
· 设置因接收到的DHCP请求报文速率超过限速值而被丢弃的DHCP报文数的告警阈值:dhcp snooping trap rate-limit。
· 设置非信任接口丢弃的DHCP服务器回应报文数的告警阈值:dhcp snooping trap untrust-reply。
系统视图下配置的阈值对所有接口生效,当接口视图下配置的阈值与系统视图下不一致时,接口视图下的阈值生效。
【举例】
# 在接口GigabitEthernet1/0/1下设置与DHCP Snooping表项不匹配而被丢弃的DHCP请求报文数的地址不匹配的告警阈值为75。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping trap binding-mismatch threshold 75
【相关命令】
· dhcp snooping alarm threshold
· dhcp snooping alarm enable(interface view)
· dhcp snooping trap enable(system view)
· dhcp snooping trap threshold(system view)
dhcp snooping trap threshold命令用来设置全局DHCP Snooping报文丢弃的告警阈值。
undo dhcp snooping trap threshold命令用来取消设置全局DHCP Snooping报文丢弃的告警阈值。
【命令】
dhcp snooping trap { rate-limit | untrust-reply { software | hardware } } threshold threshold
undo dhcp snooping trap { rate-limit | untrust-reply { software | hardware } } threshold
【缺省情况】
各类全局DHCP Snooping报文丢弃告警功能的告警阈值均为100。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
rate-limit:设置因接收到的DHCP请求报文速率超过限速值而被丢弃的DHCP报文数的告警阈值。
untrust-reply:设置非信任接口丢弃的DHCP服务器回应报文数的告警阈值。
· software:表示非信任接口通过CPU软件端丢弃的DHCP服务器回应报文数的告警阈值。
· hardware:表示非信任接口通过设备硬件驱动丢弃的DHCP服务器回应报文数的告警阈值。
threshold:DHCP Snooping报文丢弃的告警阈值,取值范围为1~1000,单位为个。
【使用指导】
全局DHCP Snooping报文丢弃的告警阈值对所有接口生效。当全局和接口同时设置告警阈值时,以接口的配置为准。
【举例】
# 设置因接收到的DHCP请求报文速率超过限速值而被丢弃的DHCP报文数的告警阈值为200。
<Sysname> system-view
[Sysname] dhcp snooping trap rate-limit threshold 200
【相关命令】
· dhcp snooping trap enable
· dhcp snooping trap threshold(interface view)
dhcp snooping trust命令用来配置端口为信任端口。
undo dhcp snooping trust命令用来恢复端口为不信任端口。
【命令】
dhcp snooping trust
undo dhcp snooping trust
【缺省情况】
在开启DHCP Snooping功能后,设备上所有支持DHCP Snooping功能的端口均为不信任端口。
【视图】
二层以太网接口视图/二层聚合接口视图
三层以太网接口视图/三层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
【举例】
# 配置接口GigabitEthernet1/0/1为信任端口。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp snooping trust
【相关命令】
· display dhcp snooping trust
dhcp snooping trust interface命令用来配置指定端口为VLAN下DHCP Snooping功能的信任端口。
undo dhcp snooping trust interface命令用来恢复端口为不信任端口。
【命令】
dhcp snooping trust interface interface-type interface-number
undo dhcp snooping trust interface interface-type interface-number
【缺省情况】
在VLAN内开启DHCP Snooping功能后,该VLAN内所有支持DHCP Snooping功能的接口均为不信任端口。
【视图】
VLAN视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:信任端口的类型和编号。
【使用指导】
在VLAN内连接DHCP服务器的接口需要设置为信任端口,其他接口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
在同一VLAN下多次执行本命令,可以为该VLAN下的DHCP Snooping功能指定多个信任端口。
为使配置生效,请保证将指定的信任端口加入到VLAN中。
【举例】
# 配置接口GigabitEthernet1/0/1为VLAN 1下DHCP Snooping功能的信任端口。
<Sysname> system-view
[Sysname] vlan 1
[Sysname-vlan 1] dhcp snooping trust interface gigabitethernet 1/0/1
【相关命令】
· display dhcp snooping trust
display dhcp snooping alarm packet statistics命令用来显示DHCP Snooping设备上指定接口的DHCP告警报文丢弃统计信息。
【命令】
display dhcp snooping alarm packet statistics interface interface-type interface-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示DHCP Snooping设备上指定接口的DHCP告警报文丢弃统计信息。interface-type interface-number为接口类型和接口编号。
【使用指导】
本命令主要用于开启DHCP Snooping告警功能后查看当前丢弃的报文统计数据,可以显示以下两种场景下被丢弃的DHCP请求报文数:
· 通过dhcp snooping check mac-address命令开启MAC地址报文检查功能后,数据帧头中的源MAC地址与DHCP请求报文中的CHADDR字段不一致被丢弃的DHCP请求报文数。
· 通过dhcp snooping check request-message命令开启DHCP请求方向报文检查功能后,与DHCP Snooping表项不匹配而被丢弃的DHCP请求报文数。
报文统计计数是一个累计过程,不会自动清除数据。如果在开启DHCP Snooping告警功能前,长期累计的丢弃报文数已超过阈值,则开启DHCP Snooping告警功能时会立即生成告警信息,无法体现短时间内的报文丢弃状态。因此在开启DHCP Snooping告警功能前,可以先通过reset dhcp snooping alarm packet statistics命令清除接口上当前的报文丢弃统计信息。
【举例】
# 显示接口GigabitEthernet1/0/1上的DHCP告警报文丢弃统计信息。
<Sysname> display dhcp snooping alarm packet statistics interface gigabitethernet 1/0/1
Interface: GigabitEthernet1/0/1
DHCP packets received : 5
Binding-mismatch packets dropped : 0
Chaddr-mismatch packets dropped : 5
表1-1 display dhcp snooping alarm packet statistics命令显示信息描述表
|
字段 |
描述 |
|
Interface |
开启DHCP Snooping告警功能的接口 |
|
DHCP packets received |
接收的DHCP报文数 |
|
Binding-mismatch packets dropped |
与DHCP Snooping表项不匹配而被丢弃的DHCP报文数 |
|
Chaddr-mismatch packets dropped |
数据帧头MAC地址与DHCP报文中的CHADDR字段不一致而被丢弃的报文数 |
【相关命令】
· reset dhcp snooping alarm packet statistics
display dhcp snooping binding命令用来显示DHCP Snooping表项信息。
【命令】
display dhcp snooping binding [ interface interface-type interface-number | ip ip-address [ vlan vlan-id ] ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口下的DHCP Snooping表项信息。interface-type interface-number为接口类型和接口编号。如果未指定本参数,则显示所有接口上的DHCP Snooping表项信息。
ip ip-address:显示指定IP地址对应的DHCP Snooping表项信息。如果未指定本参数,则显示所有IP地址对应的DHCP Snooping表项信息。
vlan vlan-id:显示指定VLAN内的DHCP Snooping表项信息。如果未指定本参数,则显示所有VLAN内的DHCP Snooping表项信息。
verbose:显示DHCP Snooping表项的详细信息。如果未指定本参数,则显示DHCP Snooping表项的概要信息。
【使用指导】
只有在DHCP Snooping设备端口上开启DHCP Snooping表项记录功能后,执行本命令才能查看到DHCP Snooping表项记录信息。
如果未指定interface和ip参数,则显示所有的DHCP Snooping表项信息。
【举例】
# 显示DHCP Snooping表项的概要信息。
<Sysname> display dhcp snooping binding
2 DHCP snooping entries found
IP address MAC address Lease SVLAN CVLAN Interface
=============== ============== ============ ===== ===== =================
1.1.1.7 0000-0101-0107 16907533 2 3 GE1/0/1
1.1.1.11 0000-0101-010b 16907537 2 3 GE1/0/3
# 显示DHCP Snooping表项的详细信息。
<Sysname> display dhcp snooping binding verbose
IP address: 1.1.1.7
MAC address: 0000-0101-0107
Lease: 16907553 seconds
SVLAN: 2
CVLAN: 3
Interface: GigabitEthernet1/0/1
Parameter request list: 03 06 21
Client identifier: aabb-aabb-aab1
Authorized client identifier: ccdd-eeff
IP address: 1.1.1.104
MAC address: 0000-0101-010b
Lease: 16907537 seconds
SVLAN: 2
CVLAN: 3
Interface: GigabitEthernet1/0/3
Parameter request list: 37 0B 01 0F 03 06 2C 2E 2F 1F 21 F9 2B
Client identifier: aabb-aabb-aab2
Authorized client identifier: aabb-aabb-aab2
表1-2 display dhcp snooping binding命令显示信息描述表
|
字段 |
描述 |
|
DHCP snooping entries found |
表项统计计数 |
|
IP address |
DHCP服务器为DHCP客户端分配的IP地址 |
|
MAC address |
DHCP客户端的MAC地址 |
|
Lease |
绑定的租约剩余时间,单位为秒 |
|
SVLAN |
如果接收到的DHCP报文带有两层VLAN Tag,则表示外层VLAN Tag;否则,表示与DHCP客户端连接的设备端口所属的VLAN |
|
CVLAN |
如果接收到的DHCP报文带有两层VLAN Tag,则表示内层VLAN Tag;否则,显示为“N/A” |
|
Interface |
与DHCP客户端连接的设备端口 |
|
Parameter request list |
DHCP客户端的请求参数,为十六进制字符串 |
|
Client identifier |
客户端ID |
|
Authorized client identifier |
授权客户端ID |
【相关命令】
· dhcp snooping enable
· reset dhcp snooping binding
display dhcp snooping binding database命令用来显示DHCP Snooping表项备份信息。
【命令】
display dhcp snooping binding database
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示DHCP Snooping表项备份信息。
<Sysname> display dhcp snooping binding database
File name : database.dhcp
Username :
Password :
Update interval : 600 seconds
Latest write time : Feb 27 18:48:04 2012
Status : Last write succeeded.
表1-3 display dhcp snooping binding database命令显示信息描述表
|
字段 |
描述 |
|
File name |
存储DHCP Snooping表项的文件名称 |
|
Username |
配置远程目标文件时的用户名 |
|
Password |
配置远程目标文件时的密码,有配置时显示为”******” |
|
Update interval |
定期刷新表项存储文件的刷新时间间隔,单位为秒 |
|
Latest write time |
最近一次写文件的时间 |
|
Status |
写文件的状态,即写文件是否成功 · Writing:正在写文件 · Last write succeeded.:写文件成功 · Last write failed.:写文件失败 |
display dhcp snooping information命令用来显示DHCP Snooping上Option 82的配置信息。
【命令】
display dhcp snooping information { all | interface interface-type interface-number }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有二层以太网接口对应的Option 82配置信息。
interface interface-type interface-number:显示指定接口对应的Option 82配置信息。interface-type interface-number为接口类型和接口编号。
【举例】
# 显示所有接口对应的Option 82配置信息。
<Sysname> display dhcp snooping information all
Interface: Bridge-Aggregation1
Status: Disable
Strategy: Drop
Circuit ID:
Padding format: User Defined
User defined: abcd
Format: ASCII
Remote ID:
Padding format: Normal
Format: ASCII
Vendor-specific:
Padding format: BAS
Node identifier: MAC
VLAN 10:
Circuit ID: abcd
Remote ID: company
Vendor-specific:
Padding format: BAS
Node identifier: User defined(abcd)
表1-4 display dhcp snooping information命令显示信息描述表
|
字段 |
描述 |
|
Interface |
接口名 |
|
Status |
Option 82的状态,取值为Enable或Disable |
|
Strategy |
对包含Option 82的请求报文的处理策略,取值为Drop、Keep或Replace |
|
Circuit ID |
Circuit ID子选项的内容 |
|
Padding format |
Option 82的填充模式: · 在填充Circuit ID子选项时,取值为Normal、User Defined、Verbose(sysname)、Verbose(MAC)或Verbose(user defined) · 在填充Remote ID子选项时,取值为Normal、Sysname或User Defined · 在填充Vendor-specific子选项时,取值为BAS |
|
Node identifier |
接入节点的标识 · 在填充Circuit ID、Remote ID子选项时,取值为自定义的字符串 · 在填充Vendor-specific子选项时,取值为MAC、Sysname或User Defined(string),括号内为自定义的字符串 |
|
User defined |
用户自定义的子选项内容 |
|
Format |
Option 82子选项的填充格式 · 在填充Circuit ID子选项时,取值为ASCII、Default或Hex · 在填充Remote ID子选项时,取值为ASCII或Hex |
|
Remote ID |
Remote ID子选项的内容 |
|
Vendor-specific |
Vendor-specific子选项的内容,只有配置了该子选项才会显示 |
|
VLAN |
为指定VLAN内收到的DHCP报文填充的Circuit ID子选项、Remote ID子选项和Vendor-specific子选项内容 |
display dhcp snooping packet statistics命令用来显示DHCP Snooping设备上的DHCP报文统计信息。
【命令】
display dhcp snooping packet statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定成员设备的DHCP报文统计信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的DHCP报文统计信息。
【举例】
# 显示DHCP Snooping设备上的DHCP报文统计信息。
<Sysname> display dhcp snooping packet statistics
DHCP packets received : 100
DHCP packets sent : 200
Invalid DHCP packets dropped : 0
表1-5 display dhcp snooping packet statistics命令显示信息描述表
|
字段 |
描述 |
|
DHCP packets received |
接收的DHCP报文数 |
|
DHCP packets sent |
发送的DHCP报文数 |
|
Invalid DHCP packets dropped |
丢弃的无效DHCP报文数 |
【相关命令】
· reset dhcp snooping packet statistics
display dhcp snooping trust命令用来显示信任端口信息。
【命令】
display dhcp snooping trust
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示信任端口信息。
<Sysname> display dhcp snooping trust
DHCP snooping is enabled.
Interface Trusted VLAN
============================ ======= ================
GigabitEthernet1/0/1 Trusted -
GigabitEthernet1/0/2 - 100
GigabitEthernet1/0/3 - 100, 200
VSI(Trust tunnel) Trusted
============================ ============
a Trusted
Interface SrvID Trusted
=================================== ============
GigabitEthernet1/0/1 1 Trusted
表1-6 display dhcp snooping trust命令显示信息描述表
|
字段 |
描述 |
|
DHCP snooping is |
DHCP Snooping功能的开启状态,取值包括: · enable:开启DHCP Snooping功能 · disable:未开启DHCP Snooping功能 |
|
Interface |
接口名称 |
|
VSI(Trust tunnel) |
(暂不支持)隧道接口的VSI名称,在VSI视图下配置dhcp snooping trust tunnel命令后,该项信息会显示 |
|
SrvID |
(暂不支持)信任接口的以太网服务实例编号 |
|
Trusted |
全局DHCP Snooping功能中配置的信任接口。如果是VLAN内DHCP Snooping功能中配置的信任接口,则此处显示为“-” |
|
VLAN |
信任端口所属的VLAN。如果是全局DHCP Snooping功能中配置的信任接口,则此处显示为“-” |
【相关命令】
· dhcp snooping trust
· dhcp snooping trust interface
reset dhcp snooping alarm packet statistics命令用来清除DHCP Snooping设备上的DHCP告警报文丢弃统计信息。
【命令】
reset dhcp snooping alarm packet statistics interface interface-type interface-number
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除DHCP Snooping设备上指定接口的DHCP告警报文丢弃统计信息。interface-type interface-number为接口类型和接口编号。
【举例】
# 清除接口GigabitEthernet1/0/1上的DHCP告警报文丢弃统计信息。
<Sysname> reset dhcp snooping alarm packet statistics interface gigabitethernet 1/0/1
【相关命令】
· display dhcp snooping alarm packet statistics
reset dhcp snooping binding命令用来清除DHCP Snooping表项。
【命令】
reset dhcp snooping binding { all | ip ip-address [ vlan vlan-id ] }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有的DHCP Snooping表项。
ip ip-address:清除指定IP地址对应的DHCP Snooping表项。
vlan vlan-id:清除指定VLAN内的DHCP Snooping表项。如果未指定本参数,则清除缺省VLAN内的DHCP Snooping表项。
【举例】
# 清除所有的DHCP Snooping表项。
<Sysname> reset dhcp snooping binding all
【相关命令】
· display dhcp snooping binding
reset dhcp snooping packet statistics命令用来清除DHCP Snooping设备上的DHCP报文统计信息。
【命令】
reset dhcp snooping packet statistics [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清除指定成员设备的DHCP报文统计信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则清除主设备上的DHCP报文统计信息。
【举例】
# 清除DHCP Snooping设备上的DHCP报文统计信息。
<Sysname> reset dhcp snooping packet statistics
【相关命令】
· display dhcp snooping packet statistics
snmp-agent trap enable dhcp snooping命令用来开启DHCP Snooping的告警功能。
undo snmp-agent trap enable dhcp snooping命令用来关闭DHCP Snooping的告警功能。
【命令】
snmp-agent trap enable dhcp snooping [ binding-exhaust | binding-mismatch | binding-threshold | chaddr-mismatch | rate-limit | untrust-reply ] *
undo snmp-agent trap enable dhcp snooping [ binding-exhaust | binding-mismatch | binding-threshold | chaddr-mismatch | rate-limit | untrust-reply ] *
【缺省情况】
DHCP Snooping所有类型的告警功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
binding-exhaust:表示DHCP Snooping表项资源耗尽/恢复的告警功能。
binding-mismatch:表示与DHCP Snooping表项不匹配而被丢弃的请求报文数达到阈值时的告警功能。
binding-threshold:表示DHCP Snooping表项资源使用率大于等于阈值或恢复到低于阈值的告警功能。
chaddr-mismatch:表示数据帧头中的源MAC地址与DHCP请求报文中的CHADDR字段不一致被丢弃的报文数达到阈值时的告警功能。
rate-limit:表示因接收到的DHCP请求报文速率超过限速值而被丢弃的报文数达到阈值时的告警功能。
untrust-reply:表示非信任接口丢弃DHCP服务器的回应报文数达到阈值时的告警功能。
【使用指导】
如果未指定任何参数,将开启DHCP Snooping所有类型的告警功能。
开启DHCP Snooping模块的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。
有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
开启chaddr-mismatch和binding-mismatch报文丢弃告警功能前,需要通过dhcp snooping check mac-address和dhcp snooping check request-message命令开启相应的报文检查功能。
当丢弃的报文数等于通过dhcp snooping trap threshold命令指定的报文丢弃告警阈值时,设备生成告警信息。告警后当前统计数据保留,设备会继续进行统计计数,但不再生成告警信息。只有通过reset dhcp snooping alarm packet statistics命令清除报文统计信息后,当丢弃报文数再次达到阈值时,设备才会再次生成告警信息。
【举例】
# 关闭DHCP Snooping表项资源耗尽告警功能。
<Sysname> system-view
[Sysname] undo snmp-agent trap enable dhcp snooping binding-exhaust
【相关命令】
· dhcp snooping trap threshold
· dhcp snooping check mac-address
· dhcp snooping check request-message
· dhcp snooping learning-num-threshold
· snmp-agent target-host(网络管理和监控命令参考/SNMP)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
