- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-DHCP典型配置举例
本章节下载: 15-DHCP典型配置举例 (241.25 KB)
目 录
本章介绍了使用DHCP功能实现动态分配IP地址的典型配置案例。
表1 配置适用的产品与软件版本关系
|
产品 |
软件版本 |
|
S10500系列以太网交换机 |
Release 1120系列,Release 1130系列,Release 1200系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1808 |
|
S5830系列以太网交换机 |
Release 1115,Release 1118 |
|
S5500-EI&S5500-SI系列以太网交换机 |
Release 2220 |
如图1所示,要求在Switch A上配置DHCP服务器功能实现:
· 为网络内的客户端动态分配10.1.1.0/24网段内的IP地址、租用有效期限、DNS信息、网关地址等配置信息;
· 根据Switch B的MAC地址为其分配固定的IP地址、DNS信息、网关地址等配置信息;
· 检查网络中是否有私自架设的DHCP服务器。
图1 DHCP服务器典型配置组网图
· DHCP Server分配IP地址时,不能将DNS Server的IP地址分配出去,所以需要将DNS Server的IP地址配置为不参与自动分配的IP地址。
· 开启伪DHCP服务器检测功能,DHCP服务器记录给客户端分配IP地址的服务器IP地址和接收到DHCP报文的接口信息,以便管理员及时发现并处理伪DHCP服务器。
· 配置地址池动态分配的IP地址范围时,请尽量保证该地址范围与DHCP服务器接口地址的网段一致,以免分配错误的IP地址。
· 使能伪DHCP服务器检测功能后,对所有DHCP服务器都会进行记录,包括合法的DHCP服务器。管理员需要从日志信息中查找伪DHCP服务器。
# 配置VLAN接口的IP地址。
<SwitchA> system-view
[SwitchA] interface Vlan-interface 1
[SwitchA-Vlan-interface1] ip address 10.1.1.1 24
# 使能DHCP服务。
[SwitchA] dhcp enable
# 配置VLAN接口1工作在DHCP服务器模式。
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] dhcp select server global-pool
[SwitchA-Vlan-interface1] quit
# 配置不参与自动分配的IP地址。
[SwitchA] dhcp server forbidden-ip 10.1.1.3
# 配置DHCP地址池0。
[SwitchA] dhcp server ip-pool 0
[SwitchA-dhcp-pool-0] static-bind mac-address 000f-e249-8050
[SwitchA-dhcp-pool-0] static-bind ip-address 10.1.1.6 24
[SwitchA-dhcp-pool-0] dns-list 10.1.1.3
[SwitchA-dhcp-pool-0] domain-name com
[SwitchA-dhcp-pool-0] gateway-list 10.1.1.1
[SwitchA-dhcp-pool-0] quit
# 配置DHCP地址池1。
[SwitchA] dhcp server ip-pool 1
[SwitchA-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-1] dns-list 10.1.1.3
[SwitchA-dhcp-pool-1] domain-name com
[SwitchA-dhcp-pool-1] expired day 10
[SwitchA-dhcp-pool-1] gateway-list 10.1.1.1
[SwitchA-dhcp-pool-1] quit
# 配置伪DHCP服务器检测功能。
[SwitchA] dhcp server detect
# 配置完成后,客户端可以从Switch A申请到IP地址,并获取相关网络配置参数。
# 通过display命令可以查看Switch A作为DHCP服务器的运行情况。
例如:通过display dhcp server tree命令显示DHCP地址池的信息。
[SwitchA] display dhcp server tree all
Global pool:
Pool name: 0
static-bind ip-address 10.1.1.6 mask 255.255.255.0
static-bind mac-address 000f-e249-8050
Parent node:1
gateway-list 10.1.1.1
dns-list 10.1.1.3
domain-name com
expired unlimited
Pool name: 1
network 10.1.1.0 mask 255.255.255.0
Child node:0
gateway-list 10.1.1.1
dns-list 10.1.1.3
domain-name com
expired 10 0 0 0
通过display dhcp server ip-in-use显示DHCP地址池中的地址绑定信息。
[SwitchA] display dhcp server ip-in-use all
Pool utilization: 1.18%
IP address Client-identifier/ Lease expiration Type
Hardware address
10.1.1.6 000f-e249-8050 NOT Used Manual
10.1.1.2 3822-d63a-e106 May 3 2013 09:53:48 Auto:COMMITTED
10.1.1.4 3363-6535-2e61-3664- May 3 2013 09:54:10 Auto:COMMITTED
662e-6531-3339-2d56-
6c61-6e2d-696e-7465-
7266-6163-6531
--- total 3 entry ---
#
vlan 1
#
dhcp server ip-pool 0
static-bind ip-address 10.1.1.6 mask 255.255.255.0
static-bind mac-address 000f-e249-8050
gateway-list 10.1.1.1
dns-list 10.1.1.3
domain-name com
#
dhcp server ip-pool 1
network 10.1.1.0 mask 255.255.255.0
gateway-list 10.1.1.1
dns-list 10.1.1.3
domain-name com
expired day 10
#
interface Vlan-interface1
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
#
dhcp server forbidden-ip 10.1.1.3
dhcp server detect
#
dhcp enable
#
表2 配置适用的产品与软件版本关系
|
产品 |
软件版本 |
|
S10500系列以太网交换机 |
Release 1120系列,Release 1130系列,Release 1200系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1808 |
|
S5830系列以太网交换机 |
Release 1115,Release 1118 |
|
S5500-EI&S5500-SI系列以太网交换机 |
Release 2220 |
如图2所示,客户端区域1和区域2处于不同网段,Switch A和Switch B之间路由可达。现要求通过在Switch B上配置DHCP中继功能实现DHCP Server为两个区域动态分配IP地址,并且能够防止DHCP客户端区域2中存在非法主机配置静态IP地址与外界进行通信。
图2 DHCP中继典型配置组网图
配置DHCP中继的地址匹配检查功能,防止非法主机静态配置一个IP地址并访问外部网络。
· DHCP客户端通过DHCP中继获取IP地址时,DHCP服务器上需要配置与DHCP中继的IP地址所在网段(网络号和掩码)完全相同的地址池,否则会导致DHCP客户端无法获得正确的IP地址。
· DHCP服务器组中服务器的IP地址不能与DHCP中继的接口IP地址在同一网段。否则,可能导致客户端无法获得IP地址。
· 在接口上使能DHCP中继的地址匹配检查功能之前,需要先使能DHCP服务、并配置该接口工作在DHCP中继模式,否则地址匹配检查功能不会生效。
# 配置VLAN接口的IP地址。
<SwitchA> system-view
[SwitchA] interface Vlan-interface 1
[SwitchA-Vlan-interface1] ip address 10.1.1.1 24
[SwitchA-Vlan-interface1] quit
[SwitchA] vlan 2
[SwitchA-vlan2] port GigabitEthernet 1/0/2
[SwitchA-vlan2] quit
[SwitchA] interface Vlan-interface 2
[SwitchA-Vlan-interface2] ip address 10.2.1.1 24
[SwitchA-Vlan-interface2] quit
# 使能DHCP服务。
[SwitchA] dhcp enable
# 配置DHCP地址池0。
[SwitchA] dhcp server ip-pool 0
[SwitchA-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-0] quit
# 配置DHCP地址池1。
[SwitchA] dhcp server ip-pool 1
[SwitchA-dhcp-pool-1] network 10.4.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-1] quit
# 配置VLAN接口的IP地址。
<SwitchB> system-view
[SwitchB] interface Vlan-interface 1
[SwitchB-Vlan-interface1] ip address 10.4.1.1 24
[SwitchB-Vlan-interface1] quit
[SwitchB] vlan 2
[SwitchB-vlan2] port GigabitEthernet 1/0/2
[SwitchB-vlan2] quit
[SwitchB] interface Vlan-interface 2
[SwitchB-Vlan-interface2] ip address 10.3.1.1 24
[SwitchB-Vlan-interface2] quit
# 使能DHCP服务。
[SwitchB] dhcp enable
# 配置DHCP服务器的地址。
[SwitchB] dhcp relay server-group 1 ip 10.2.1.1
# 配置VLAN接口1工作在DHCP中继模式。
[SwitchB] interface vlan-interface 1
[SwitchB-Vlan-interface1] dhcp select relay
# 配置VLAN接口1对应DHCP服务器组1。
[SwitchB-Vlan-interface1] dhcp relay server-select 1
# 配置DHCP中继的地址匹配检查功能。
[SwitchB-Vlan-interface1] dhcp relay address-check enable
# 配置完成后,两个区域的客户端都可以从DHCP服务器获取IP地址。
# 通过display命令可以查看Switch B作为DHCP中继的运行情况。
例如:显示配置后接口对应的DHCP服务器组的信息。
[SwitchB] display dhcp relay all
Interface name Server-group
Vlan-interface1 1
· Switch A
#
vlan 1
#
vlan 2
#
dhcp server ip-pool 0
network 10.1.1.0 mask 255.255.255.0
#
dhcp server ip-pool 1
network 10.4.1.0 mask 255.255.255.0
#
interface Vlan-interface1
ip address 10.1.1.1 255.255.255.0
#
interface Vlan-interface2
ip address 10.2.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
#
interface GigabitEthernet1/0/2
port access vlan 2
#
dhcp enable
#
· Switch B
#
dhcp relay server-group 1 ip 10.2.1.1
#
vlan 1
#
vlan 2
#
interface Vlan-interface1
ip address 10.4.1.1 255.255.255.0
dhcp select relay
dhcp relay address-check enable
dhcp relay server-select 1
#
interface Vlan-interface2
ip address 10.3.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
#
interface GigabitEthernet1/0/2
port access vlan 2
#
dhcp enable
#
表3 配置适用的产品与软件版本关系
|
产品 |
软件版本 |
|
S10500系列以太网交换机 |
Release 1120系列,Release 1130系列,Release 1200系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1808 |
|
S5830系列以太网交换机 |
Release 1115,Release 1118 |
|
S5500-EI&S5500-SI系列以太网交换机 |
Release 2220 |
如图3所示,客户端位于10.1.1.0/24网段内,DHCP服务器位于10.2.1.0/24网段内,DHCP服务器上已经完成Option82分配策略的相关配置,要求在DHCP中继上配置DHCP中继支持Option82功能实现DHCP服务器根据Option82的分配策略为每个区域分配特定范围内的IP地址。
图3 DHCP中继支持Option82典型配置组网图
# 配置VLAN接口的IP地址。
<Switch> system-view
[Switch] interface Vlan-interface 1
[Switch-Vlan-interface1] ip address 10.1.1.1 24
[Switch-Vlan-interface1] quit
[Switch] vlan 2
[Switch-vlan2] port GigabitEthernet 1/0/4
[Switch-vlan2] quit
[Switch] interface Vlan-interface 2
[Switch-Vlan-interface2] ip address 10.2.1.2 24
[Switch-Vlan-interface2] quit
# 使能DHCP服务。
[Switch] dhcp enable
# 配置DHCP服务器的地址。
[Switch] dhcp relay server-group 1 ip 10.2.1.1
# 配置VLAN接口1工作在DHCP中继模式。
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] dhcp select relay
# 配置VLAN接口1对应DHCP服务器组1。
[Switch-Vlan-interface1] dhcp relay server-select 1
# 使能DHCP中继支持Option82功能。
[Switch-Vlan-interface1] dhcp relay information enable
# 配置完成后,DHCP Server可以为DHCP客户端分配指定范围内的IP地址。
# 通过display dhcp relay information命令显示DHCP中继上Option82的配置信息。
[Switch] display dhcp relay information all
Interface: Vlan-interface1
Status: Enable
Strategy: Replace
Format: Normal
#
dhcp relay server-group 1 ip 10.2.1.1
#
vlan 1
#
vlan 2
#
interface Vlan-interface1
ip address 10.1.1.1 255.255.255.0
dhcp select relay
dhcp relay server-select 1
dhcp relay information enable
#
interface Vlan-interface2
ip address 10.2.1.2 255.255.255.0
#
interface GigabitEthernet1/0/1
#
interface GigabitEthernet1/0/2
#
interface GigabitEthernet1/0/3
#
interface GigabitEthernet1/0/4
port access vlan 2
#
dhcp enable
#
表4 配置适用的产品与软件版本关系
|
产品 |
软件版本 |
|
S10500系列以太网交换机 |
Release 1120系列,Release 1130系列,Release 1200系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1808 |
|
S5830系列以太网交换机 |
Release 1115,Release 1118 |
|
S5500-EI&S5500-SI系列以太网交换机 |
Release 2220 |
如图4所示,通过在Switch B上配置DHCP Snooping 功能实现:
· 保证客户端从合法的服务器获取IP地址。
· 禁止用户通过配置静态IP地址的方式接入网络。
图4 DHCP Snooping典型配置组网图
· 将Switch B与合法服务器相连的端口GigabitEthernet1/0/1设置为信任端口,该端口可以转发DHCP服务器的响应报文,其它端口不转发DHCP服务器的响应报文。
· 为防止非法用户通过配置静态IP地址的方式接入网络,在缺省VLAN 1内启用ARP Detection功能,对DHCP客户端进行保护,保证合法用户可以正常转发报文,否则丢弃。
# 配置VLAN接口的IP地址。
<SwitchA> system-view
[SwitchA] interface Vlan-interface 1
[SwitchA-Vlan-interface1] ip address 10.1.1.1 24
# 使能DHCP服务。
[SwitchA] dhcp enable
# 配置DHCP地址池0。
[SwitchA] dhcp server ip-pool 0
[SwitchA-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-1] quit
# 使能DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp-snooping
# 配置GigabitEthernet1/0/1端口为信任端口。
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp-snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
# 使能ARP Detection功能,对用户合法性进行检查。
[SwitchB] vlan 1
[SwitchB-vlan1] arp detection enable
# 端口状态缺省为非信任状态,上行端口配置为信任状态,下行端口按缺省配置。
[SwitchB-vlan1] quit
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] arp detection trust
[SwitchB-GigabitEthernet1/0/1] quit
# 显示DHCP Snooping表项信息
[SwitchB] display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all ports.
Type : D--Dynamic , S--Static , R--Recovering
Type IP Address MAC Address Lease VLAN SVLAN Interface
==== =============== ============== ============ ==== ===== =================
D 10.1.1.15 00e0-fc00-0006 286 1 N/A Gigabitethernet1/0/1
--- 1 dhcp-snooping item(s) found ---
· SwitchA
#
vlan 1
#
dhcp server ip-pool 0
network 10.1.1.0 mask 255.255.255.0
#
dhcp enable
#
· SwitchB
#
dhcp-snooping
#
vlan 1
arp detection enable
#
interface GigabitEthernet1/0/1
dhcp-snooping trust
arp detection trust
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
