- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-DHCP典型配置指导
本章节下载: 04-DHCP典型配置指导 (260.09 KB)
目 录
在以下场合通常利用DHCP服务器来完成IP地址分配:
l 网络规模较大,手工配置需要很大的工作量,并难以对整个网络进行集中管理。
l 网络中主机数目大于该网络支持的IP地址数量,无法给每个主机分配一个固定的IP地址。例如,Internet接入服务提供商限制同时接入网络的用户数目,大量用户必须动态获得自己的IP地址。
l 网络中只有少数主机需要固定的IP地址,大多数主机没有固定的IP地址需求。
网络环境如图1-1所示:
图1-1 DHCP服务器典型配置组网图
网络管理员希望满足如下需求:
l 将Switch A作为DHCP Server,为网络内的工作站分配IP地址
l DNS Server的IP地址为10.1.1.3/24
l 为Switch C分配固定的IP地址
l 为工作站自动配置DNS Server地址信息
l 探测是否有私自架设的DHCP服务器
l 作为DHCP服务器的Switch A为网段10.1.1.0/24中的客户端动态分配IP地址,该地址池网段为:10.1.1.0/24;
l 因DNS Server为固定的IP地址,因此需要将该IP地址配置为不参与自动分配的IP地址;
l Switch C上VLAN接口1的MAC地址为:000f-e249-8050,采用静态绑定方式为Switch C分配10.1.1.6/24的IP地址;
l 为工作站指定DNS服务器;
l 配置伪DHCP服务器检测功能。
|
产品 |
软件版本 |
|
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
|
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
|
CE3000-32F以太网交换机 |
Release 1211 |
|
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5500-EI-D系列以太网交换机 |
Release 2208 |
|
S5500-SI系列以太网交换机 |
Release 2208 |
|
S5120-EI系列以太网交换机 |
Release 2208 |
|
S5120-EI-D系列以太网交换机 |
Release 1505 |
|
S5120-SI系列以太网交换机 |
Release 1505 |
|
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
|
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
(1) 配置端口属于VLAN及对应VLAN接口的IP地址(略)
(2) 配置DHCP服务
# 使能DHCP服务。
<SwitchA> system-view
[SwitchA] dhcp enable
# 配置VLAN接口1工作在DHCP服务器模式。
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] dhcp select server global-pool
[SwitchA-Vlan-interface1] quit
# 配置不参与自动分配的IP地址。
[SwitchA] dhcp server forbidden-ip 10.1.1.3
# 配置DHCP地址池0。
[SwitchA] dhcp server ip-pool 0
[SwitchA-dhcp-pool-0] static-bind ip-address 10.1.1.6 24
[SwitchA-dhcp-pool-0] static-bind mac-address 000f-e249-8050
[SwitchA-dhcp-pool-0] dns-list 10.1.1.3
[SwitchA-dhcp-pool-0] quit
# 配置DHCP地址池1。
[SwitchA] dhcp server ip-pool 1
[SwitchA-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-1] dns-list 10.1.1.3
[SwitchA-dhcp-pool-1] quit
# 配置伪DHCP服务器检测功能。
[SwitchA] dhcp server detect
(3) 验证配置结果
配置完成后,工作站可以从DHCP服务器(Switch A)分别申请到IP地址,并获取相关网络配置参数。通过display dhcp server ip-in-use命令可以查看DHCP服务器为客户端分配的IP地址。
例如:查看Switch A为Switch C分配的固定的IP地址
[SwitchA] display dhcp server ip-in-use ip 10.1.1.6
IP address Client-identifier/ Lease expiration Type
Hardware address
10.1.1.6 000f-e249-8050 Unlimited Manual
l 配置Switch A
#
vlan 1
#
dhcp server ip-pool 0
static-bind ip-address 10.1.1.6 mask 255.255.255.0
static-bind mac-address 000f-e249-8050
dns-list 10.1.1.3
#
dhcp server ip-pool 1
network 10.1.1.0 mask 255.255.255.0
dns-list 10.1.1.3
#
interface Vlan-interface1
ip address 10.1.1.1 255.255.255.0
#
dhcp server forbidden-ip 10.1.1.3
dhcp server detect
#
dhcp enable
#
l 配置地址池动态分配的IP地址范围时,请尽量保证该地址范围与DHCP服务器接口或DHCP中继接口地址的网段一致,以免分配错误的IP地址。
l 根据客户端的实际需要,可以将地址池配置为采用静态绑定或动态分配方式进行地址分配,但对一个DHCP地址池不能同时配置这两种方式。
l 设备作为DHCP客户端时,需要在DHCP服务器上配置IP地址与客户端ID静态绑定,设备作为BOOTP客户端时,需要配置IP地址与客户端MAC静态绑定,否则设备无法申请到静态绑定的IP地址。
l 使能伪DHCP服务器检测功能后,对所有DHCP服务器都会进行记录,包括合法的DHCP服务器。管理员需要从日志信息中查找伪DHCP服务器。
l 使能伪DHCP服务器检测功能后,对每个DHCP服务器只记录一次。
由于在IP地址动态获取过程中采用广播方式发送请求报文,因此DHCP只适用于DHCP客户端和服务器处于同一个子网内的情况。为进行动态主机配置,需要在所有网段上都设置一个DHCP服务器,这显然是很不经济的。
DHCP中继功能的引入解决了这一难题:客户端可以通过DHCP中继与其他网段的DHCP服务器通信,最终获取到IP地址。这样,多个网络上的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。
网络环境如图1-2所示:
图1-2 DHCP中继典型配置组网图
网络管理员管理着两个局域网,这两个网络位于不同的区域。Switch A支持作为DHCP Server,管理员希望该DHCP Server能够为两个网络分配动态IP地址,并且能够防止DHCP客户端区域2中存在非法主机静态配置IP地址进行通信的情况。
l DHCP客户端区域1所在网段为10.1.1.0/24,DHCP客户端区域2所在网段为10.4.1.0/24,在作为DHCP服务器的Switch A上配置两个地址池分别为这两个网段中的客户端动态分配IP地址;
l 由于DHCP客户端区域2和DHCP服务器不在同一网段,因此,需要在DHCP客户端区域2所在网段设置DHCP中继设备,以便DHCP客户端区域2中的设备能够从DHCP服务器申请到10.4.1.0/24网段的IP地址及相关配置信息;
l 配置DHCP中继的安全功能;
l Switch B作为DHCP中继通过端口(属于VLAN1)连接到DHCP客户端所在的网络,交换机VLAN接口1的IP地址为10.4.1.1/24,VLAN接口2的IP地址为10.3.1.1/24。
|
产品 |
软件版本 |
|
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
|
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
|
CE3000-32F以太网交换机 |
Release 1211 |
|
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5500-EI-D系列以太网交换机 |
Release 2208 |
|
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
|
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5120-EI-D系列以太网交换机 |
Release 1505 |
|
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
|
E552&E528以太网交换机 |
Release 1103 |
|
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
|
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
由于DHCP中继所在接口的IP地址与DHCP服务器的IP地址不在同一网段,因此需要在DHCP服务器上通过静态路由或动态路由协议保证两者之间路由可达。
l 配置Switch A
# 配置端口属于VLAN及对应VLAN接口的IP地址(略)
# 使能DHCP服务。
<SwitchA> system-view
[SwitchA] dhcp enable
# 配置DHCP地址池0。
[SwitchA] dhcp server ip-pool 0
[SwitchA-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-0] quit
# 配置DHCP地址池1。
[SwitchA] dhcp server ip-pool 1
[SwitchA-dhcp-pool-1] network 10.4.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-1] quit
l 配置Switch B
# 配置各接口的IP地址(略)。
# 使能DHCP服务。
<SwitchA> system-view
[SwitchA] dhcp enable
# 配置DHCP服务器的地址。
[SwitchA] dhcp relay server-group 1 ip 10.2.1.1
# 配置VLAN接口1工作在DHCP中继模式。
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] dhcp select relay
# 配置VLAN接口1对应DHCP服务器组1。
[SwitchA-Vlan-interface1] dhcp relay server-select 1
# 配置DHCP中继的地址匹配检查功能。
[SwitchA-Vlan-interface1] dhcp relay address-check enable
配置完成后,DHCP客户端可以通过DHCP中继从DHCP服务器获取IP地址及相关配置信息。display dhcp relay security命令可以显示通过DHCP中继获取IP地址的客户端信息;display dhcp relay statistics命令可以显示DHCP中继转发的DHCP报文统计信息。
l 配置Switch A
#
vlan 1
#
vlan 2
#
dhcp server ip-pool 0
network 10.1.1.0 mask 255.255.255.0
#
dhcp server ip-pool 1
network 10.4.1.0 mask 255.255.255.0
#
interface Vlan-interface1
ip address 10.1.1.1 255.255.255.0
#
interface Vlan-interface2
ip address 10.2.1.1 255.255.255.0
#
dhcp enable
#
l 配置Switch B
#
dhcp relay server-group 1 ip 10.2.1.1
#
vlan 1
#
interface Vlan-interface1
ip address 10.4.1.1 255.255.255.0
dhcp select relay
dhcp relay address-check enable
dhcp relay server-select 1
#
interface Vlan-interface2
ip address 10.3.1.1 255.255.255.0
#
dhcp enable
#
l 只有使能DHCP服务后,其它相关的DHCP配置才能生效。
l DHCP客户端通过DHCP中继获取IP地址时,DHCP服务器上需要配置与DHCP中继的IP地址所在网段(网络号和掩码)完全相同的地址池,否则会导致DHCP客户端无法获得正确的IP地址。
l DHCP服务器组中服务器的IP地址不能与DHCP中继的接口IP地址在同一网段。否则,可能导致客户端无法获得IP地址。
l 在接口上使能DHCP中继的地址匹配检查功能之前,需要先使能DHCP服务、并配置该接口工作在DHCP中继模式,否则地址匹配检查功能不会生效。
Option82称为中继代理信息选项,该选项记录了DHCP客户端的位置信息。DHCP中继接收到DHCP客户端发送给DHCP服务器的请求报文后,在该报文中添加Option82,并转发给DHCP服务器。
管理员可以从Option82中获得DHCP客户端的位置信息,以便定位DHCP客户端,实现对客户端的安全和计费等控制。支持Option82的服务器还可以根据该选项的信息制定IP地址和其他参数的分配策略,提供更加灵活的地址分配方案。
网络环境如图1-3所示:
图1-3 DHCP中继支持Option82典型配置组网图
某局域网络被管理员划分为三个部分:DHCP客户端区域1、DHCP客户端区域2和DHCP客户端区域3,并且管理员计划为每个区域分配特定范围内的IP地址。
l 该局域网被分为三部分,区域1与Switch的端口GigabitEthernet1/0/1相连、区域2与Switch的端口GigabitEthernet1/0/2相连、区域3与Switch的端口GigabitEthernet1/0/3相连,并且这三个端口都在VLAN 1内。
l 局域网与DHCP Server不在同一网段内,需要把连接局域网和DHCP Server的Switch作为DHCP Relay;
l 为每个区域分配特定范围内的IP地址,可通过DHCP Relay设备对客户端发送的DHCP请求报文插入表示客户端“位置”的Option82信息,并在DHCP Server上配置为不同位置的客户端分配特定范围的IP地址。
|
产品 |
软件版本 |
|
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
|
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
|
CE3000-32F以太网交换机 |
Release 1211 |
|
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5500-EI-D系列以太网交换机 |
Release 2208 |
|
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
|
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5120-EI-D系列以太网交换机 |
Release 1505 |
|
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
|
E552&E528以太网交换机 |
Release 1103 |
|
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
|
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
(1) 配置Switch
# 使能DHCP服务。
<Switch> system-view
[Switch] dhcp enable
# 配置DHCP服务器的地址。
[Switch] dhcp relay server-group 1 ip 10.2.1.1
# 配置VLAN接口1工作在DHCP中继模式。
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] dhcp select relay
# 配置VLAN接口1对应DHCP服务器组1。
[Switch-Vlan-interface1] dhcp relay server-select 1
# 使能DHCP中继支持Option82功能。
[Switch-Vlan-interface1] dhcp relay information enable
(2) 配置DHCP Server
关于在DHCP Server上配置Option82的分配策略,具体请参见DHCP服务器的相关内容。
需要注意的是,DHCP Relay采用normal模式(缺省情况)配置子选项内容,此时子选项中携带DHCP Client所连接Switch端口的VLAN ID和全局端口号(比连接Switch的端口号小1),在服务器上配置分配策略时,可根据端口号来区分不同区域。
(3) 验证结果
配置完成后,DHCP Server可以为DHCP客户端分配指定范围内的IP地址。
l Switch上的配置
#
dhcp relay server-group 1 ip 10.2.1.1
#
vlan 1
#
interface Vlan-interface1
ip address 10.1.1.1 255.255.255.0
dhcp select relay
dhcp relay server-select 1
dhcp relay information enable
#
dhcp enable
#
无
网络环境如图1-3所示:
图1-4 DHCP Snooping典型配置组网图
Switch B通过以太网端口GigabitEthernet1/0/1连接到DHCP服务器,通过以太网端口GigabitEthernet1/0/2、GigabitEthernet1/0/3连接到DHCP客户端,连接以太网端口GigabitEthernet1/0/4的DHCP服务器是非法私设的DHCP服务器,同时存在非法用户设置静态IP地址接入网络的情况。要求:
l 保证客户端从合法的服务器获取IP地址。
l 禁止用户通过配置静态IP地址的方式接入网络。
l 为保证客户端从合法的服务器获取IP地址,将Switch B与合法服务器相连的端口GigabitEthernet1/0/1设置为信任端口,该端口可以转发DHCP服务器的响应报文,其它端口不转发DHCP服务器的响应报文。
l 为防止非法用户通过配置静态IP地址的方式接入网络,在缺省VLAN 1内启用ARP Detection功能,对DHCP客户端和用户进行保护,保证合法用户可以正常转发报文,否则丢弃。
表1-4 配置适用的产品与软件版本关系
|
产品 |
软件版本 |
|
S7500E系列以太网交换机 |
Release 6300系列,Release 6600系列,Release 6610系列 |
|
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
|
CE3000-32F以太网交换机 |
Release 1211 |
|
S5810系列以太网交换机 |
Release 1102 |
|
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5500-EI-D系列以太网交换机 |
Release 2208 |
|
S5500-SI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5120-EI-D系列以太网交换机 |
Release 1505 |
|
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
|
S5120-LI系列以太网交换机 |
Release 1107 |
|
E552&E528以太网交换机 |
Release 1103 |
|
S3610&S5510系列以太网交换机 |
Release 5306,Release 5309 |
|
S3500-EA系列以太网交换机 |
Release 5309 |
|
S3100V2系列以太网交换机 |
Release 5103 |
|
E126B以太网交换机 |
Release 5103 |
(1) 配置Switch A
# 使能DHCP服务。
<SwitchA> system-view
[SwitchA] dhcp enable
# 配置DHCP地址池0。
[SwitchA] dhcp server ip-pool 0
[SwitchA-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-1] quit
(2) 配置Switch B
# 使能DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp-snooping
# 配置GigabitEthernet1/0/1端口为信任端口。
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp-snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
# 使能ARP Detection功能,对用户合法性进行检查。
[SwitchB] vlan 1
[SwitchB-vlan1] arp detection enable
# 端口状态缺省为非信任状态,上行端口配置为信任状态,下行端口按缺省配置。
[SwitchB-vlan1] quit
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] arp detection trust
[SwitchB-GigabitEthernet1/0/1] quit
# S5810系列以太网交换机的Release 1102软件版本、S5500-EI和S5500-SI系列以太网交换机的Release 2202软件版本、S5120-EI系列以太网交换机的Release 2202软件版本、S5120-SI系列以太网交换机的Release 1101软件版本、S3610&S5510系列以太网交换机的Release 5306和Release 5309软件版本、S3500-EA系列以太网交换机的Release 5309软件版本、S5120-LI系列以太网交换机的Release 1107、E552&E528以太网交换机的Release 1103上还需要配置ARP Detection用户合法性检查模式:
[SwitchB] arp detection mode dhcp-snooping
以S5800&S5820X系列以太网交换机的Release 1108软件版本为例:
l SwitchA上的配置
#
vlan 1
#
dhcp server ip-pool 0
network 10.1.1.0 mask 255.255.255.0
#
dhcp enable
#
l SwitchB上的配置
#
dhcp-snooping
#
vlan 1
arp detection enable
#
interface GigabitEthernet1/0/1
dhcp-snooping trust
arp detection trust
#
l 设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。
l 为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
