H3C S12500 DHCP Snooping配置举例

目  录

1 简介

2 配置前提

3 DHCP Snooping配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置注意事项

3.5 配置步骤

3.5.1 Switch A的配置

3.5.2 Switch B的配置

3.6 验证配置

3.7 配置文件

4 DHCP Snooping支持Option 82配置举例

4.1 组网需求

4.2 配置思路

4.3 使用版本

4.4 配置注意事项

4.5 配置步骤

4.5.1 Switch A的配置

4.5.2 Switch B的配置

4.6 验证配置

4.7 配置文件

5 相关资料

1  简介

本文档介绍了DHCP Snooping配置举例。

DHCP Snooping是DHCP的一种安全特性，具有如下功能：

·     保证客户端从合法的服务器获取IP地址。

·     记录DHCP客户端IP地址与MAC地址的对应关系，以实现ARP Detection和IP Source Guard功能。

S12500上还可以配置DHCP Snooping支持Option 82功能。Option 82记录了DHCP客户端的位置信息，服务器管理员可以利用该选项定位DHCP客户端，实现对客户端的安全和计费等控制。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解DHCP Snooping特性。

3  DHCP Snooping配置举例

3.1  组网需求

如图1所示，要求实现：

·     在Switch B上配置DHCP Snooping功能，确保DHCP客户端只能从合法的DHCP服务器Switch A获取IP地址，DHCP服务器为DHCP客户端分配的IP地址网段为10.1.0.0/24。

·     在Switch B的VLAN10上启用ARP Detection功能，基于DHCP Snooping表项对DHCP客户端进行用户合法性检查，防止非法用户仿冒DHCP客户端对Switch B进行ARP攻击。

图1 DHCP Snooping组网图

3.2  配置思路

·     缺省情况下，使能了DHCP Snooping功能的设备Switch B上所有端口均为不信任端口。为了使DHCP客户端能从合法的DHCP服务器获取IP地址，必须将与合法DHCP服务器相连的端口（GE3/0/1）设置为信任端口。

·     缺省情况下，使能了ARP Detection功能的接口（属于VLAN10的三个接口）均为ARP非信任接口，需要进行用户合法性检查。由于ARP Detection主要是检测终端设备的，所以将与合法DHCP服务器相连的上行接口（GE3/0/1）配置为信任状态，不进行用户合法性检查。

3.3  使用版本

本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。

3.4  配置注意事项

·     设备只有位于DHCP客户端与DHCP服务器之间或DHCP客户端与DHCP中继之间时，DHCP Snooping功能配置后才能正常工作；设备位于DHCP服务器与DHCP中继之间时，DHCP Snooping功能配置后不能正常工作。

·     使能DHCP Snooping功能的设备，不能作为DHCP服务器和DHCP中继。

·     信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。

·     可以设置为DHCP Snooping信任端口的接口类型包括：二层以太网接口和二层聚合接口。

·     如果二层以太网接口加入聚合组，则在该接口上进行的DHCP Snooping配置不生效；该接口退出聚合组后，之前的配置才会生效。

3.5  配置步骤

3.5.1  Switch A的配置

# 启用DHCP服务。

<SwitchA> system-view

[SwitchA] dhcp enable

# 配置DHCP地址池1，用来为DHCP客户端分配IP地址。

[SwitchA] dhcp server ip-pool 1

[SwitchA-dhcp-pool-1] network 10.1.0.0 24

[SwitchA-dhcp-pool-1] quit

# 创建VLAN10及其接口地址，并将端口GE3/0/1加入VLAN10。

[SwitchA] vlan 10

[SwitchA-vlan101] port GigabitEthernet 3/0/1

[SwitchA-vlan10] quit

[SwitchA-vlan10] interface Vlan-interface 10

[SwitchA-Vlan-interface10] ip address 10.1.0.2 24

[SwitchA-Vlan-interface10] undo shutdown

[SwitchA-Vlan-interface10] quit

[SwitchA] interface GigabitEthernet3/0/1

[SwitchA-GigabitEthernet3/0/1] undo shutdown

[SwitchA-GigabitEthernet3/0/1] quit

3.5.2  Switch B的配置

# 按照图1配置所有端口属于VLAN10，具体配置过程略。

# 使能DHCP Snooping功能。

<SwitchB> system-view

[SwitchB] dhcp-snooping

# 配置端口GE3/0/1为信任端口，并记录客户端IP地址和MAC地址的绑定关系。

[SwitchB] interface GigabitEthernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] dhcp-snooping trust

[SwitchB-GigabitEthernet3/0/1] undo shutdown

[SwitchB-GigabitEthernet3/0/1] quit

# 使能ARP Detection功能，对用户合法性进行检查。

[SwitchB] vlan 10

[SwitchB-vlan10] arp detection enable

[SwitchB-vlan10] quit

# 将上行接口GE3/0/1配置为ARP信任接口，不进行用户合法性检查。

[SwitchB] interface GigabitEthernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] arp detection trust

[SwitchB-GigabitEthernet3/0/1] quit

3.6  验证配置

(1)     配置完成后，DHCP客户端只能从合法DHCP服务器获取IP地址，非法DHCP服务器无法为DHCP客户端分配IP地址。

# 查看DHCP Snooping设备上配置的信任端口信息。

<SwitchB> display dhcp-snooping trust

 DHCP Snooping is enabled.

 DHCP Snooping trust becomes active.

 Interface                                       Trusted

 =========================                       ============

 GigabitEthernet3/0/1                            Trusted

(2)     配置完成后，对于SwitchB的接口GE3/0/2、GE3/0/3收到的ARP报文，先进行报文有效性检查，然后基于DHCP Snooping表项进行用户合法性检查。

# 显示所有使能了ARP Detection功能的VLAN。

<SwitchB> display arp detection

 ARP detection is enabled in the following VLANs:

 10

# 显示DHCP Snooping表项信息。

<SwitchB> display dhcp-snooping

 DHCP Snooping is enabled.

 The client binding table for all untrusted ports.

 Type : D--Dynamic , S--Static , R--Recovering

 Type IP Address      MAC Address    Lease        VLAN SVLAN Interface

 ==== =============== ============== ============ ==== ===== =================

 D    10.1.0.3        0000-0101-010b 85999        10   N/A   GigabitEthernet3/0/2

---   1 dhcp-snooping item(s) found   ---

3.7  配置文件

·     Switch A

#

vlan 10

#

interface Vlan-interface10

 ip address 10.1.0.2 255.255.255.0

#

dhcp enable

#

dhcp server ip-pool 1

network 10.1.0.0 mask 255.255.255.0

#

interface GigabitEthernet3/0/1

 port access vlan 10

#

·     Switch B

#

vlan 10

 arp detection enable

#

dhcp-snooping

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port access vlan 10

 arp detection trust

 dhcp-snooping trust

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 10

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 10

#

4  DHCP Snooping支持Option 82配置举例

4.1  组网需求

如图2所示，某公司的办公区域包括三个小组group1、group2和group3，独立地分布在三个房间中。该公司通过DHCP服务器统一管理IP地址。

要求通过在Switch A上配置DHCP Snooping支持Option 82功能来实现：

·     DHCP服务器为三个小组分配192.168.10.0/24网段的地址，有效期为12小时。为group1的用户分配192.168.10.2～192.168.10.25之间的地址；为group2的用户分配192.168.10.100～192.168.10.150之间的地址；为group3的用户分配192.168.10.151～192.168.10.200之间的地址。

·     DHCP服务器的管理员可以获得DHCP客户端的位置信息，以便定位客户端，实现对客户端的安全和计费等控制。

图2 DHCP Snooping组网图

4.2  配置思路

·     由于缺省情况下，使能了DHCP Snooping功能的设备Switch A上所有端口均为不信任端口。为了使DHCP客户端能从合法的DHCP服务器获取IP地址，必须将与合法DHCP服务器相连的端口（GE3/0/4）设置为信任端口。

·     DHCP客户端所有的请求信息和标识信息都是分别携带在不同的Option中发送给DHCP服务器的，Option 82中携带了DHCP客户端的位置信息。为了使DHCP服务器可以获得DHCP客户端的位置信息，可以在DHCP Snooping设备与DHCP客户端相连的端口上配置DHCP Snooping支持Option 82功能。DHCP Snooping设备在接收到DHCP客户端发送给DHCP服务器的请求报文时，在该报文中添加Option 82，并转发给DHCP服务器。

·     由于本例中DHCP服务器需要区分DHCP客户端请求报文是来自group1、group2还是group3，因此可以在DHCP Snooping设备上配置Option 82的子选项内容，使不同小组的用户携带不同的Option 82信息。本例中通过用户自定义Circuit ID子选项内容的方式来实现（也可以通过用户自定义Remote ID子选项内容的方式来实现）。例如，由端口GE3/0/1接入的用户，配置Circuit ID子选项内容为group1，则DHCP报文中添加的Circuit ID子选项信息为：0x010667726F757031，其中0106是Circuit ID的子选项号和子选项长度，67726F757031是字符串“group1”的十六进制值。

·     在DHCP服务器Switch B上配置用户类和动态分配地址范围，使得DHCP服务器可以根据Option 82的内容匹配不同的用户类，为DHCP客户端分配合适的IP地址。

4.3  使用版本

本举例中的DHCP Snooping设备（Switch A）是在S12500-CMW520-R1825P01版本上进行配置和验证的；DHCP服务器设备（Switch B）是在S12500-CMW710-R7129版本上进行配置和验证的。

4.4  配置注意事项

·     设备只有位于DHCP客户端与DHCP服务器之间或DHCP客户端与DHCP中继之间时，DHCP Snooping功能配置后才能正常工作；设备位于DHCP服务器与DHCP中继之间时，DHCP Snooping功能配置后不能正常工作。

·     使能DHCP Snooping功能的设备，不能作为DHCP服务器和DHCP中继。

·     信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。

·     可以设置为DHCP Snooping信任端口的接口类型包括：二层以太网接口和二层聚合接口。

·     如果二层以太网接口加入聚合组，则在该接口上进行的DHCP Snooping配置不生效；该接口退出聚合组后，之前的配置才会生效。

·     只能在二层以太网接口和二层聚合接口上配置DHCP Snooping支持Option 82功能。

·     如果二层以太网接口加入聚合组，则该接口上进行的DHCP Snooping支持Option 82功能的配置不会生效；该接口退出聚合组后，之前的配置才会生效。

·     为使Option 82功能正常使用，需要在DHCP服务器和DHCP Snooping上都进行相应配置。

4.5  配置步骤

4.5.1  Switch A的配置

# 按照图2配置所有端口属于VLAN10，具体配置过程略。

# 全局使能DHCP Snooping功能。

<SwitchA> system-view

[SwitchA] dhcp-snooping

# 配置端口GE3/0/4为信任端口。

[SwitchA] interface GigabitEthernet 3/0/4

[SwitchA-GigabitEthernet3/0/4] dhcp-snooping trust

[SwitchA-GigabitEthernet3/0/4] undo shutdown

[SwitchA-GigabitEthernet3/0/4] quit

# 在端口GE3/0/1上配置DHCP Snooping支持Option 82功能。

[SwitchA] interface GigabitEthernet 3/0/1

[SwitchA-GigabitEthernet3/0/1] dhcp-snooping information enable

# 在端口GE3/0/1上配置Option 82的Circuit ID填充内容为group1。

[SwitchA-GigabitEthernet3/0/1] dhcp-snooping information circuit-id string group1

[SwitchA-GigabitEthernet3/0/1] undo shutdown

[SwitchA-GigabitEthernet3/0/1] quit

# 在端口GE3/0/2上配置DHCP Snooping支持Option 82功能。

[SwitchA] interface GigabitEthernet 3/0/2

[SwitchA-GigabitEthernet3/0/2] dhcp-snooping information enable

# 在端口GE3/0/2上配置Option 82的Circuit ID填充内容为group2。

[SwitchA-GigabitEthernet3/0/2] dhcp-snooping information circuit-id string group2

[SwitchA-GigabitEthernet3/0/2] undo shutdown

[SwitchA-GigabitEthernet3/0/2] quit

# 在端口GE3/0/3上配置DHCP Snooping支持Option 82功能。

[SwitchA] interface GigabitEthernet 3/0/3

[SwitchA-GigabitEthernet3/0/3] dhcp-snooping information enable

# 在端口GE3/0/3上配置Option 82的Circuit ID填充内容为group3。

[SwitchA-GigabitEthernet3/0/3] dhcp-snooping information circuit-id string group3

[SwitchA-GigabitEthernet3/0/3] undo shutdown

[SwitchA-GigabitEthernet3/0/3] quit

4.5.2  Switch B的配置

# 配置接口GE3/0/1工作在三层模式，IP地址为192.168.10.1/24，并配置该接口工作在DHCP服务器模式。

<SwitchB> system-view

[SwitchB] interface GigabitEthernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] port link-mode route

[SwitchB-GigabitEthernet3/0/1] ip address 192.168.10.1 24

[SwitchB-GigabitEthernet3/0/1] dhcp select server

[SwitchB-GigabitEthernet3/0/1] undo shutdown

[SwitchB-GigabitEthernet3/0/1] quit

# 启动DHCP服务。

[SwitchB] dhcp enable

# 为从DHCP Snooping设备GE3/0/1端口接入的group1用户建立DHCP用户类group1，并配置该用户类用来匹配Option 82的Circuit ID子选项信息为group1的用户报文。

[SwitchB] dhcp class group1

[SwitchB-dhcp-class-group1] if-match option 82 hex 010667726F757031

[SwitchB-dhcp-class-group1] quit

# 为从DHCP Snooping设备GigabitEthernet 3/0/2端口接入的group2用户建立DHCP用户类group2，并配置该用户类用来匹配Option 82的Circuit ID子选项信息为group2的用户报文。

[SwitchB] dhcp class group2

[SwitchB-dhcp-class-group2] if-match option 82 hex 010667726F757032

[SwitchB-dhcp-class-group2] quit

# 为从DHCP Snooping设备GigabitEthernet 3/0/3端口接入的group3用户建立DHCP用户类group3，并配置该用户类用来匹配Option 82的Circuit ID子选项信息为group3的用户报文。

[SwitchB] dhcp class group3

[SwitchB-dhcp-class-group3] if-match option 82 hex 010667726F757033

[SwitchB-dhcp-class-group3] quit

# 创建DHCP地址池office，为DHCP地址池配置租约期限和网关地址。

[SwitchB] dhcp server ip-pool office

[SwitchB-dhcp-pool-office] network 192.168.10.0 24

[SwitchB-dhcp-pool-office] address range 192.168.10.1 192.168.10.254

[SwitchB-dhcp-pool-office] expired day 0 hour 12

[SwitchB-dhcp-pool-office] gateway-list 192.168.10.1

# 为三个DHCP用户类分别指定地址范围。

[SwitchB-dhcp-pool-office] class group1 range 192.168.10.2 192.168.10.25

[SwitchB-dhcp-pool-office] class group2 range 192.168.10.100 192.168.10.150

[SwitchB-dhcp-pool-office] class group3 range 192.168.10.151 192.168.10.200

4.6  验证配置

配置结束后，三个小组group1、group2和group3中的DHCP客户端可以通过DHCP服务器动态获取相应的IP地址。

# group1组中的PC 1获取到的IP地址为192.168.10.2。

C:\>ipconfig /all

Ethernet adapter 本地连接 4:

        Connection-specific DNS Suffix  . :

        Description . . . . . . . . . . . : D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C) #2

        Physical Address. . . . . . . . . : 34-08-04-99-C6-B7

        Dhcp Enabled. . . . . . . . . . . : Yes

        Autoconfiguration Enabled . . . . : Yes

        IP Address. . . . . . . . . . . . : 192.168.10.2

        Subnet Mask . . . . . . . . . . . : 255.255.255.0

        Default Gateway . . . . . . . . . : 192.168.10.1

        DHCP Server . . . . . . . . . . . : 192.168.10.1

        DNS Servers . . . . . . . . . . . : 192.168.100.2

        Primary WINS Server . . . . . . . : 192.168.100.3

        Lease Obtained. . . . . . . . . . : 2012年12月26日 14:06:32

        Lease Expires . . . . . . . . . . : 2012年12月27日 2:06:32

# group2组的PC 2动态获取到的IP地址为192.168.10.100。

C:\>ipconfig /all

Ethernet adapter 本地连接 4:

        Connection-specific DNS Suffix  . :

        Description . . . . . . . . . . . : D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C) #2

        Physical Address. . . . . . . . . : 34-08-04-FC-65-05

        Dhcp Enabled. . . . . . . . . . . : Yes

        Autoconfiguration Enabled . . . . : Yes

        IP Address. . . . . . . . . . . . : 192.168.10.100

        Subnet Mask . . . . . . . . . . . : 255.255.255.0

        Default Gateway . . . . . . . . . : 192.168.10.1

        DHCP Server . . . . . . . . . . . : 192.168.10.1

        DNS Servers . . . . . . . . . . . : 192.168.100.2

        Primary WINS Server . . . . . . . : 192.168.100.3

        Lease Obtained. . . . . . . . . . : 2012年12月26日 14:06:32

        Lease Expires . . . . . . . . . . : 2012年12月27日 2:06:32

# group3组的PC 3动态获取到的IP地址为192.168.10.151。

C:\>ipconfig /all

Ethernet adapter 本地连接 4:

        Connection-specific DNS Suffix  . :

        Description . . . . . . . . . . . : D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C) #2

        Physical Address. . . . . . . . . : 00-0c-29-05-67-6B

        Dhcp Enabled. . . . . . . . . . . : Yes

        Autoconfiguration Enabled . . . . : Yes

        IP Address. . . . . . . . . . . . : 192.168.10.151

        Subnet Mask . . . . . . . . . . . : 255.255.255.0

        Default Gateway . . . . . . . . . : 192.168.10.1

        DHCP Server . . . . . . . . . . . : 192.168.10.1

        DNS Servers . . . . . . . . . . . : 192.168.100.2

        Primary WINS Server . . . . . . . : 192.168.100.3

        Lease Obtained. . . . . . . . . . : 2012年12月26日 14:06:32

        Lease Expires . . . . . . . . . . : 2012年12月27日 2:06:32

4.7  配置文件

·     Switch A

#

vlan 10

#

dhcp-snooping

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port access vlan 10

 dhcp-snooping information enable

 dhcp-snooping information circuit-id string group1

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 10

 dhcp-snooping information enable

 dhcp-snooping information circuit-id string group2

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 10

 dhcp-snooping information enable

 dhcp-snooping information circuit-id string group3

#

interface GigabitEthernet3/0/4

 port link-mode bridge

 port access vlan 10

 dhcp-snooping trust

#

·     Switch B

#

 dhcp enable

#

dhcp class group1

 if-match option 82 hex 010667726f757031

#

dhcp class group2

 if-match option 82 hex 010667726f757032

#

dhcp class group3

 if-match option 82 hex 010667726f757033

#

dhcp server ip-pool office

 network 192.168.10.0 mask 255.255.255.0

 address range 192.168.10.1 192.168.10.254

 class group1 range 192.168.10.1 192.168.10.25

 class group2 range 192.168.10.100 192.168.10.150

 class group3 range 192.168.10.151 192.168.10.200

 expired day 0 hour 12

 gateway-list 192.168.10.1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 192.168.10.1 255.255.255.0

#

5  相关资料

·     《H3C S12500系列路由交换机  三层技术-IP业务配置指导》中的“DHCP”

·     《H3C S12500系列路由交换机  三层技术-IP业务命令参考》中的“DHCP”

·     《H3C S12500系列路由交换机  安全配置指导》中的“ARP攻击防御”

·     《H3C S12500系列路由交换机  安全命令参考》中的“ARP攻击防御”