11-DHCP Snooping典型配置举例-样例
本章节下载: 11-DHCP Snooping典型配置举例-样例 (213.64 KB)
本文档介绍了DHCP Snooping相关应用的配置举例。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解DHCP相关特性。
如图1所示,某科研机构有三个项目组,分布在不同的楼层中,通过楼层间的DHCP Snooping设备与DHCP Server相连。
为了方便管理,希望通过DHCP服务器统一分配IP地址,同时要求:
· 根据项目组的规模,分配不同范围的IP地址,为group1分配192.168.0.2~192.168.0.39之间的IP地址,为group2分配192.168.0.40~192.168.0.99之间的IP地址,为group3分配192.168.0.100~192.168.0.200之间的IP地址;
· 保证客户端从合法的服务器获取IP地址;
· 禁止用户通过配置静态IP地址的方式接入网络。
图1 DHCP Snooping配置组网图
· 在多个DHCP Snooping设备级联的网络中,为了节省系统资源,不需要每台DHCP Snooping设备都记录所有DHCP客户端的IP地址和MAC地址的绑定信息,只需在与客户端直接相连的不信任端口上记录绑定信息。间接与DHCP客户端相连的不信任端口不需要记录IP地址和MAC地址绑定信息,需要配置绑定关系的不信任端口,请参见图2中所示。
· 在DHCP Snooping设备上指向合法的DHCP服务器方向的端口需要设置为信任端口,以便DHCP Snooping设备正常转发DHCP服务器的应答报文,保证DHCP客户端能够从合法的DHCP服务器获取IP地址,具体需要配置为信任端口的端口,请参见图2中所示。
· 为防止非法用户通过配置静态IP地址的方式接入网络,在用户所在VLAN内启用ARP Detection功能(本例为缺省VLAN 1内),基于DHCP Snooping表项对用户进行合法性检查,保证合法用户可以正常转发报文。
· 配置DHCP Snooping支持Option82功能,并在DHCP服务器上配置根据Option82的分配策略,从而实现为每个区域分配特定范围内的IP地址。
表1 适用产品及版本
产品 |
软件版本 |
S5560X-EI系列 |
Release 63xx系列 |
S5560X-HI系列 |
Release 63xx系列 |
S5500V2-EI系列 |
Release 63xx系列 |
MS4520V2-30F |
Release 63xx系列 |
S6520X-HI系列 S6520X-EI系列 |
Release 63xx系列 |
S6520X-SI系列 S6520-SI系列 |
Release 63xx系列 |
S5000-EI系列 |
Release 63xx系列 |
MS4600系列 |
Release 63xx系列 |
S5560S-EI系列 S5560S-SI系列 |
Release 63xx系列 |
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列 |
Release 63xx系列 |
S5120V2-SI系列 S5120V2-LI系列 |
Release 63xx系列 |
S3100V3-EI系列 S3100V3-SI系列 |
Release 63xx系列 |
S5110V2系列 |
Release 63xx系列 |
S5110V2-SI系列 |
Release 63xx系列 |
S5000V3-EI系列 |
Release 63xx系列 |
S5000E-X系列 |
Release 63xx系列 |
E128C E152C E500C系列 E500D系列 |
Release 63xx系列 |
MS4520V2系列(除MS4520V2-30F) |
Release 63xx系列 |
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列 |
Release 63xx系列 |
WS5850-WiNet系列 |
Release 63xx系列 |
WS5820-WiNet系列 WS5810-WiNet系列 |
Release 63xx系列 |
WAS6000系列 |
Release 63xx系列 |
S5110V2-SI、S5000V3-EI、S5000E-X、WAS6000不支持DHCP Server。
# 使能DHCP Snooping功能。
<DeviceA> system-view
[DeviceA] dhcp snooping enable
# 在GigabitEthernet1/0/1上启用DHCP Snooping表项记录功能。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] dhcp snooping binding record
# 为使Option 82功能正常使用,需要在DHCP服务器和DHCP Snooping上都进行相应配置。如下为DHCP Snooping上的相关配置:
# 在GigabitEthernet1/0/1上配置DHCP Snooping支持Option 82功能,并配置Circuit ID填充内容为group1。
[DeviceA-GigabitEthernet1/0/1] dhcp snooping information enable
[DeviceA-GigabitEthernet1/0/1] dhcp snooping information circuit-id string group1
[DeviceA-GigabitEthernet1/0/1] quit
# 配置GigabitEthernet1/0/2端口为信任端口。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] dhcp snooping trust
[DeviceA-GigabitEthernet1/0/2] quit
# 使能ARP Detection功能,对用户合法性进行检查。
[DeviceA] vlan 1
[DeviceA-vlan1] arp detection enable
[DeviceA-vlan1] quit
# 端口状态缺省为非信任状态,上行端口配置为信任状态,下行端口按缺省配置。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] arp detection trust
[DeviceA-GigabitEthernet1/0/2] quit
# 使能DHCP Snooping功能。
<DeviceB> system-view
[DeviceB] dhcp snooping enable
# 在GigabitEthernet1/0/1上启用DHCP Snooping表项记录功能。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] dhcp snooping binding record
# 为使Option 82功能正常使用,需要在DHCP服务器和DHCP Snooping上都进行相应配置。如下为DHCP Snooping上的相关配置:
# 在GigabitEthernet1/0/1上配置DHCP Snooping支持Option 82功能,并配置Circuit ID填充内容为group2。
[DeviceB-GigabitEthernet1/0/1] dhcp snooping information enable
[DeviceB-GigabitEthernet1/0/1] dhcp snooping information circuit-id string group2
[DeviceB-GigabitEthernet1/0/1] quit
# 配置GigabitEthernet1/0/2端口为信任端口。
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] dhcp snooping trust
[DeviceB-GigabitEthernet1/0/2] quit
# 在GigabitEthernet1/0/3上启用DHCP Snooping表项记录功能。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] dhcp snooping binding record
# 为使Option 82功能正常使用,需要在DHCP服务器和DHCP Snooping上都进行相应配置。如下为DHCP Snooping上的相关配置:
# 在GigabitEthernet1/0/3上配置DHCP Snooping支持Option 82功能,并配置Circuit ID填充内容为group3。
[DeviceB-GigabitEthernet1/0/3] dhcp snooping information enable
[DeviceB-GigabitEthernet1/0/3] dhcp snooping information circuit-id string group3
[DeviceB-GigabitEthernet1/0/3] quit
# 使能ARP Detection功能,对用户合法性进行检查。
[DeviceB] vlan 1
[DeviceB-vlan1] arp detection enable
[DeviceB-vlan1] quit
# 端口状态缺省为非信任状态,上行端口配置为信任状态,下行端口按缺省配置。
[DeviceB] interface GigabitEthernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] arp detection trust
[DeviceB-GigabitEthernet1/0/2] quit
# 使能DHCP Snooping功能。
<DeviceC> system-view
[DeviceC] dhcp snooping enable
# 配置GigabitEthernet1/0/2端口为信任端口。
[DeviceC] interface gigabitethernet 1/0/2
[DeviceC-GigabitEthernet1/0/2] dhcp snooping trust
[DeviceC-GigabitEthernet1/0/2] quit
# 配置VLAN接口2的IP地址。
<DeviceD> system-view
[DeviceD] vlan 2
[DeviceD-vlan2] port gigabitethernet 1/0/1
[DeviceD-vlan2] quit
[DeviceD] interface vlan-interface 2
[DeviceD-Vlan-interface2] ip address 192.168.0.1 24
[DeviceD-Vlan-interface2] quit
# 使能DHCP服务。
[DeviceD] dhcp enable
# 配置VLAN接口2工作在DHCP服务器模式。
[DeviceD] interface vlan-interface 2
[DeviceD-Vlan-interface2] dhcp select server
[DeviceD-Vlan-interface2] quit
# 为使Option 82功能正常使用,需要在DHCP服务器和DHCP中继上都进行相应配置。如下为DHCP服务器上的相关配置:
# 创建DHCP用户类group1,匹配请求报文中包含Option 82选项,并且该选项的第3字节到第8字节为0x67726F757031(表示Circuit ID子选项内容为group1)的客户端。
[DeviceD] dhcp class group1
[DeviceD-dhcp-class-group1] if-match rule 1 option 82 hex 67726F757031 offset 2 length 6
[DeviceD-dhcp-class-group1] quit
# 创建DHCP用户类group2,匹配请求报文中包含Option 82选项,并且该选项的第3字节到第8字节为0x67726F757032(表示Circuit ID子选项内容为group2)的客户端。
[DeviceD] dhcp class group2
[DeviceD-dhcp-class-group2] if-match rule 1 option 82 hex 67726F757032 offset 2 length 6
[DeviceD-dhcp-class-group2] quit
# 创建DHCP用户类group3,匹配请求报文中包含Option 82选项,并且该选项的第3字节到第8字节为0x67726F757033(表示Circuit ID子选项内容为group3)的客户端。
[DeviceD] dhcp class group3
[DeviceD-dhcp-class-group3] if-match rule 1 option 82 hex 67726F757033 offset 2 length 6
[DeviceD-dhcp-class-group3] quit
# 配置DHCP地址池1。
[DeviceD] dhcp server ip-pool 1
# 配置地址池动态分配的主网段。
[DeviceD-dhcp-pool-1] network 192.168.0.0 mask 255.255.255.0
# 配置DHCP地址池为DHCP用户类group1动态分配的IP地址范围。
[DeviceD-dhcp-pool-1] class group1 range 192.168.0.2 192.168.0.39
# 配置DHCP地址池为DHCP用户类group2动态分配的IP地址范围。
[DeviceD-dhcp-pool-1] class group2 range 192.168.0.40 192.168.0.99
# 配置DHCP地址池为DHCP用户类group3动态分配的IP地址范围。
[DeviceD-dhcp-pool-1] class group3 range 192.168.0.100 192.168.0.200
# 配置VLAN接口2引用地址池1。
[DeviceD] interface vlan-interface 2
[DeviceD-Vlan-interface2] dhcp server apply ip-pool 1
[DeviceD-Vlan-interface2] quit
# 在group2中的某一用户PC上输入如下命令,可查看申请到的IP地址。按照同样的方式,可以确认group 1和 group 3中的用户也得到指定范围内的地址。
C:\Documents and Settings\Administrator>ipconfig
Windows IP Configuration
Ethernet adapter bb:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.0.44
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
# 假设group2里的非法用户配置了一个192.168.0.66的IP地址,会发现无法访问外部网络。
部分交换机的配置文件中会显示port link-mode bridge命令,请以实际情况为准。
· Device A
#
dhcp snooping enable
#
vlan 1
arp detection enable
#
interface GigabitEthernet1/0/1
dhcp snooping binding record
dhcp snooping information enable
dhcp snooping information circuit-id string group1
#
interface GigabitEthernet1/0/2
arp detection trust
dhcp snooping trust
#
· Device B
#
dhcp snooping enable
#
vlan 1
arp detection enable
#
interface GigabitEthernet1/0/1
dhcp snooping binding record
dhcp snooping information enable
dhcp snooping information circuit-id string group2
#
interface GigabitEthernet1/0/2
arp detection trust
dhcp snooping trust
#
interface GigabitEthernet1/0/3
dhcp snooping binding record
dhcp snooping information enable
dhcp snooping information circuit-id string group3
#
· Device C
#
dhcp snooping enable
#
interface GigabitEthernet1/0/2
dhcp snooping trust
#
· Device D
#
dhcp enable
#
vlan 2
#
dhcp class group1
if-match rule 1 option 82 hex 67726f757031 offset 2 length 6
#
dhcp class group2
if-match rule 1 option 82 hex 67726f757032 offset 2 length 6
#
dhcp class group3
if-match rule 1 option 82 hex 67726f757033 offset 2 length 6
#
dhcp server ip-pool 1
network 192.168.0.0 mask 255.255.255.0
class group1 range 192.168.0.2 192.168.0.39
class group2 range 192.168.0.40 192.168.0.99
class group3 range 192.168.0.100 192.168.0.200
#
interface Vlan-interface2
ip address 192.168.0.1 255.255.255.0
dhcp server apply ip-pool 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!