• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-网络互通配置指导

目录

12-DHCP Snooping配置

本章节下载 12-DHCP Snooping配置  (322.25 KB)

12-DHCP Snooping配置


1 DHCP Snooping

1.1  DHCP Snooping简介

DHCP Snooping是DHCP的一种安全特性。

DHCP Snooping设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。

1.1.1  DHCP Snooping作用

1. 保证客户端从合法的服务器获取IP地址

网络中如果存在私自架设的非法DHCP服务器,则可能导致DHCP客户端获取到错误的IP地址和网络配置参数,从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:

·     信任端口正常转发接收到的DHCP报文。

·     不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。

在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。

2. 记录DHCP客户端IP地址与MAC地址的对应关系

DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现:

·     ARP Detection:根据DHCP Snooping表项来判断发送ARP报文的用户是否合法,从而防止非法用户的ARP攻击。ARP Detection的详细介绍请参见“安全配置指导”中的“ARP攻击防御”。

1.1.2  信任端口的典型应用环境

1. DHCP Snooping直联DHCP服务器和DHCP客户端网络

图1-1所示,在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,以便DHCP Snooping设备正常转发DHCP服务器的应答报文,保证DHCP客户端能够从合法的DHCP服务器获取IP地址。

图1-1 信任端口和非信任端口

 

2. DHCP Snooping级联网络

在多个DHCP Snooping设备级联的网络中,为了节省系统资源,不需要每台DHCP Snooping设备都记录所有DHCP客户端的IP地址和MAC地址的绑定信息,只需在与客户端直接相连不信任端口上记录绑定信息。间接与DHCP客户端相连的不信任端口不需要记录IP地址和MAC地址绑定信息。

图1-2 DHCP Snooping级联组网图

图1-2中设备各端口的角色如表1-1所示。

表1-1 端口的角色

设备

记录绑定信息的不信任端口

不记录绑定信息的不信任端口

信任端口

Device A

Port A1

Port A3

Port A2

Device B

Port B3和Port B4

Port B1

Port B2

Device C

Port C1

Port C3和Port C4

Port C2

 

1.1.3  DHCP Snooping支持Option 82功能

Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option 82的详细介绍请参见“网络互通配置指导”中的“DHCP概述”。

如果DHCP Snooping支持Option 82功能,则当设备接收到DHCP请求报文后,将根据报文中是否包含Option 82以及用户配置的处理策略及填充模式等对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。具体的处理方式见表1-2。DHCP Snooping对Option 82的处理策略、填充模式与DHCP中继相同。

DHCP Snoopng还支持填充Option82选项的Vendor-specific子选项,当DHCP Snooping收到DHCP请求报文后,会填充Option 82的Vendor-specific子选项并转发该报文。选项内容包括节点标识、设备用户侧的接口信息和用户所在VLAN的信息等。DHCP请求报文每经过一台DHCP Snooping,Vendor-specific子选项都会将当前DHCP Snooping设备的节点标识、设备用户侧的接口信息和用户所在VLAN的信息等添加到已有的Vendor-specific子选项中。管理设备收到DHCP请求报文后,通过解析报文中的Vendor-specific子选项就可以确定该请求报文经过的网络拓扑,方便定位用户所在的位置。

当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发。

表1-2 DHCP Snooping支持Option 82的处理方式

收到DHCP请求报文

处理策略

DHCP Snooping对报文的处理

收到的报文中带有Option 82

Append

按照如下处理方式处理报文并进行转发:

·     若配置了dhcp snooping information vendor-specific命令,则按照此命令配置的内容向Option 82的Vendor-specific子选项添加内容

·     若未配置dhcp snooping information vendor-specific命令,则保持该报文中的Option 82不变

Drop

丢弃报文

Keep

保持报文中的Option 82不变并进行转发

Replace

根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,替换报文中原有的Option 82并进行转发

收到的报文中不带有Option 82

-

根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,添加到报文中并进行转发

 

1.2  DHCP Snooping配置限制和指导

配置DHCP Snooping基本功能时,需要注意:

·     如果二层以太网接口加入聚合组,则在该接口上进行的DHCP Snooping相关配置不会生效;该接口退出聚合组后,之前的配置才会生效。

·     为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。

·     目前,可以设置为DHCP Snooping信任端口的接口类型包括:二层以太网接口、二层聚合接口、关于聚合接口的详细介绍,请参见“网络互通配置指导”中的“以太网链路聚合”。

1.3  DHCP Snooping配置任务简介

DHCP Snooping配置任务如下:

(1)     配置DHCP Snooping基本功能

(2)     (可选)配置DHCP Snooping支持Option 82功能

(3)     (可选)配置DHCP Snooping表项固化功能

(4)     (可选)配置接口动态学习DHCP Snooping表项的最大数目

(5)     (可选)配置DHCP Snooping报文限速功能

(6)     (可选)配置DHCP Snooping安全功能

(7)     (可选)开启DHCP Snooping的DHCP请求方向报文的giaddr字段检查功能

(8)     (可选)开启DHCP Snooping的用户下线探测功能

(9)     (可选)开启DHCP Snooping日志和告警功能

¡     开启DHCP Snooping日志信息功能

¡     开启DHCP Snooping报文丢弃告警功能

(10)     (可选)关闭接口的DHCP Snooping功能

1.4  配置DHCP Snooping基本功能

1.4.1  在普通组网中配置DHCP Snooping基本功能

1. 功能简介

在一台DHCP Snooping设备上,如果全局开启了DHCP Snooping功能,则设备上所有VLAN内的DHCP Snooping功能也同时开启。

对于某些组网来说,管理员只需要在设备在某些特定VLAN内开启DHCP Snooping功能,而不需要在整个设备上开启DHCP Snooping功能。为了满足此需求,设备支持在指定VLAN内开启DHCP Snooping功能,并在VLAN内配置DHCP Snooping信任端口和开启端口的DHCP Snooping表项记录功能。

2. 配置限制和指导

在一台设备上,全局DHCP Snooping功能和VLAN内的DHCP Snooping功能关系如下:

·     如果全局开启了DHCP Snooping基本功能(包括开启DHCP Snooping功能、配置信任端口和配置DHCP Snooping表项记录功能),只能使用对应的全局命令关闭功能,使用VLAN内的命令关闭功能不生效;

·     如果VLAN内开启了DHCP Snooping基本功能(包括开启DHCP Snooping功能、配置信任端口和配置DHCP Snooping表项记录功能),只能使用对应的VLAN内命令关闭功能,使用全局命令关闭功能不生效。

3. 全局开启DHCP Snooping功能

(1)     进入系统视图。

system-view

(2)     全局开启DHCP Snooping功能。

dhcp snooping enable

缺省情况下,DHCP Snooping功能处于关闭状态。

(3)     进入接口视图。

interface interface-type interface-number

此接口为连接DHCP服务器的接口。

(4)     配置端口为信任端口。

dhcp snooping trust

缺省情况下,在开启DHCP Snooping功能后,设备的所有端口均为不信任端口。

(5)     (可选)开启端口的DHCP Snooping表项记录功能。

a.     退回系统视图。

quit

b.     进入接口视图。

interface interface-type interface-number

此接口为连接DHCP客户端的接口。

c.     开启DHCP Snooping表项记录功能。

dhcp snooping binding record

缺省情况下,DHCP Snooping表项记录功能处于关闭状态。

4. 在VLAN中配置DHCP Snooping基本功能

(1)     进入系统视图。

system-view

(2)     在指定VLAN内开启DHCP Snooping功能。

dhcp snooping enable vlan vlan-id-list

缺省情况下,所有VLAN内的DHCP Snooping功能处于关闭状态。

(3)     进入VLAN视图。

vlan vlan-id

该VLAN为开启了DHCP Snooping功能的VLAN。

(4)     配置指定接口为VLAN下DHCP Snooping功能的信任端口。

dhcp snooping trust interface interface-type interface-number

缺省情况下,在开启DHCP Snooping功能后,VLAN内的所有接口均为不信任端口。

(5)     (可选)开启VLAN的DHCP Snooping表项记录功能。

dhcp snooping binding record

缺省情况下,VLAN的DHCP Snooping表项记录功能处于关闭状态。

1.5  配置DHCP Snooping支持Option 82功能

1. 配置限制和指导

配置DHCP Snooping支持Option 82功能时,需要注意:

·     如果二层以太网接口加入聚合组,则在该接口上进行的DHCP Snooping支持Option 82功能的配置不会生效;该接口退出聚合组后,之前的配置才会生效。

·     为使Option 82功能正常使用,需要在DHCP服务器和DHCP Snooping设备上都进行相应配置。DHCP服务器的相关配置请参见“网络互通配置指导”中的“DHCP服务器”。

·     如果以设备名称(sysname)作为节点标识填充DHCP报文的Option 82,则设备名称中不能包含空格;否则,DHCP Snooping将不处理该报文。用户可以通过sysname命令配置设备名称,该命令的详细介绍请参见“基本配置命令参考”中的“设备管理”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCP Snooping支持Option 82功能。

dhcp snooping information enable

缺省情况下,DHCP Snooping支持Option 82功能处于关闭状态。

(4)     (可选)配置DHCP Snooping对包含Option 82的请求报文的处理策略。

dhcp snooping information strategy { append | drop | keep | replace }

缺省情况下,对带有Option 82的请求报文的处理策略为replace

DHCP Snooping对包含Option 82请求报文的处理策略为appendreplace时,需要配置Option 82的填充模式和填充格式;处理策略为keepdrop时,不需要配置Option 82的填充模式和填充格式。

(5)     (可选)配置Circuit ID子选项的填充模式和填充格式。

dhcp snooping information circuit-id { [ vlan vlan-id ] string circuit-id | { normal | verbose [ node-identifier { mac | sysname | user-defined node-identifier } ] } [ format { ascii | hex } ] }

缺省情况下,Circuit ID子选项的填充模式为Normal,填充格式为hex。

如果以设备的系统名称(sysname)作为节点标识填充DHCP报文的Option 82,则系统名称中不能包含空格;否则,DHCP Snooping添加或替换Option 82失败。

(6)     (可选)配置Remote ID子选项的填充模式和填充格式。

dhcp snooping information remote-id { normal [ format { ascii | hex } ] | [ vlan vlan-id ] string remote-id | sysname }

缺省情况下,Remote ID子选项的填充模式为Normal,填充格式为hex。

(7)     (可选)配置Vendor-specific子选项的填充模式。

dhcp snooping information vendor-specific [ vlan vlan-id ] bas [ node-identifier { mac | sysname | user-defined string } ]

缺省情况下,设备不会填充Option 82的Vendor-specific子选项。

1.6  配置DHCP Snooping表项固化功能

1. 功能简介

DHCP Snooping设备重启后,设备上记录的DHCP Snooping表项将丢失,DHCP Snooping与安全模块配合使用,则表项丢失会导致安全模块无法通过DHCP Snooping获取到相应的表项,进而导致DHCP客户端不能顺利通过安全检查、正常访问网络。

DHCP Snooping表项固化功能将DHCP Snooping表项保存到指定的文件中,DHCP Snooping设备重启后,自动根据该文件恢复DHCPDHCP Snooping表项,从而保证DHCP Snooping表项不会丢失。

2. 配置限制和指导

执行undo dhcp snooping enable命令关闭DHCP Snooping功能后,设备会删除所有DHCP Snooping表项,文件中存储的DHCP Snooping表项不会被马上删除,需要在下一次DHCP Snooping表项保存文件操作时才能删除所有的DHCP Snooping表项。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     指定存储DHCP Snooping表项的文件名称。

dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }

缺省情况下,未指定存储文件名称。

执行本命令后,会立即触发一次表项备份。

(3)     (可选)将当前的DHCP Snooping表项保存到用户指定的文件中。

dhcp snooping binding database update now

本命令只用来触发一次DHCP Snooping表项的备份。

(4)     (可选)配置刷新DHCP Snooping表项存储文件的延迟时间。

dhcp snooping binding database update interval interval

缺省情况下,若DHCP Snooping表项不变化,则不刷新存储文件;若DHCP Snooping表项发生变化,默认在300秒之后刷新存储文件。

1.7  配置接口动态学习DHCP Snooping表项的最大数目

1. 功能简介

通过本配置可以限制接口动态学习DHCP Snooping表项的最大数目,以防止接口学习到大量DHCP Snooping表项,占用过多的系统资源。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口动态学习DHCP Snooping表项的最大数目。

dhcp snooping max-learning-num max-number

缺省情况下,不限制接口动态学习DHCP Snooping表项的数目。

1.8  配置DHCP Snooping报文限速功能

1. 功能简介

为了避免非法用户发送大量DHCP报文,对网络造成攻击,DHCP Snooping支持报文限速功能,限制接口接收DHCP报文的速率。当接口接收的DHCP报文速率超过限制的最高速率时,DHCP Snooping设备将丢弃超过速率限制的报文。

2. 配置限制和指导

如果二层以太网接口加入了聚合组,则该接口采用对应二层聚合接口下的DHCP Snooping报文限速配置,如果二层以太网接口离开聚合组,则该接口采用二层以太网接口下的DHCP Snooping报文限速配置。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCP Snooping的报文限速功能。

dhcp snooping rate-limit rate

缺省情况下, DHCP Snooping的报文限速功能处于关闭状态,即不限制接口接收DHCP报文的速率。

1.9  配置DHCP Snooping安全功能

1.9.1  配置防止DHCP饿死攻击

1. 功能简介

DHCP饿死攻击是指攻击者伪造chaddr字段各不相同的DHCP请求报文,向DHCP服务器申请大量的IP地址,导致DHCP服务器地址池中的地址耗尽,无法为合法的DHCP客户端分配IP地址,或导致DHCP服务器消耗过多的系统资源,无法处理正常业务。DHCP报文字段的相关内容请参见“网络互通配置指导”中的“DHCP概述”。

如果封装DHCP请求报文的数据帧的源MAC地址各不相同,则通过mac-address max-mac-count命令限制端口可以学习到的MAC地址数,并配置学习到的MAC地址数达到最大值时,丢弃源MAC地址不在MAC地址表里的报文,能够避免攻击者申请过多的IP地址,在一定程度上缓解DHCP饿死攻击。此时,不存在DHCP饿死攻击的端口下的DHCP客户端可以正常获取IP地址,但存在DHCP饿死攻击的端口下的DHCP客户端仍可能无法获取IP地址。

如果封装DHCP请求报文的数据帧的MAC地址都相同,则通过mac-address max-mac-count命令无法防止DHCP饿死攻击。在这种情况下,需要开启DHCP Snooping的MAC地址检查功能。开启该功能后,DHCP Snooping设备检查接收到的DHCP请求报文中的chaddr字段和数据帧的源MAC地址字段是否一致。如果一致,则认为该报文合法,将其转发给DHCP服务器;如果不一致,则丢弃该报文。mac-address max-mac-count命令的详细介绍,请参见“网络互通配置指导”中的“MAC地址表”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCP Snooping的MAC地址检查功能。

dhcp snooping check mac-address

缺省情况下,DHCP Snooping的MAC地址检查功能处于关闭状态。

1.9.2  配置防止伪造DHCP请求方向报文攻击

1. 功能简介

本功能用来检查DHCP续约报文、DHCP-DECLINE和DHCP-RELEASE三种DHCP请求方向的报文,以防止非法客户端伪造这三种报文对DHCP服务器进行攻击。

伪造DHCP续约报文攻击是指攻击者冒充合法的DHCP客户端,向DHCP服务器发送伪造的DHCP续约报文,导致DHCP服务器和DHCP客户端无法按照自己的意愿及时释放IP地址租约。如果攻击者冒充不同的DHCP客户端发送大量伪造的DHCP续约报文,则会导致大量IP地址被长时间占用,DHCP服务器没有足够的地址分配给新的DHCP客户端。

伪造DHCP-DECLINE/DHCP-RELEASE报文攻击是指攻击者冒充合法的DHCP客户端,向DHCP服务器发送伪造的DHCP-DECLINE/DHCP-RELEASE报文,导致DHCP服务器错误终止IP地址租约。

在DHCP Snooping设备上开启DHCP请求方向报文检查功能,可以有效地防止伪造DHCP请求方向报文攻击。如果开启了该功能,则DHCP Snooping设备接收到上述报文后,检查本地是否存在与请求方向报文匹配的DHCP Snooping表项。若存在,则接收报文信息与DHCP Snooping表项信息一致时,认为该报文为合法的DHCP请求方向报文,将其转发给DHCP服务器;不一致时,认为该报文为伪造的DHCP请求方向报文,将其丢弃。若不存在,则认为该报文合法,将其转发给DHCP服务器。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCP Snooping的DHCP请求方向报文检查功能。

dhcp snooping check request-message

缺省情况下,DHCP Snooping的DHCP请求方向报文检查功能处于关闭状态。

1.10  开启DHCP Snooping的DHCP请求方向报文的giaddr字段检查功能

1. 功能简介

DHCP请求报文中的giaddr字段记录了请求报文经过的第一跳DHCP中继的地址信息。DHCP Snooping设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,才能正常工作。当DHCP Snooping收到的DHCP请求报文中的giaddr字段不为0,表示DHCP Snooping设备位于DHCP中继与DHCP服务器之间,DHCP Snooping无法正常工作。开启本功能后,DHCP Snooping收到giaddr字段不为0的DHCP请求报文后,直接丢弃该报文。当丢弃的报文数大于或等于阈值时,DHCP Snooping会生成日志信息。管理员看到相关日志信息后,可以及时调整DHCP设备的位置,使DHCP Snooping可以正常工作。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCP Snooping的DHCP请求方向报文的giaddr字段检查功能。

dhcp snooping check giaddr

缺省情况下,DHCP请求方向报文的giaddr字段检查功能处于关闭状态。

1.11  开启DHCP Snooping的用户下线探测功能

1. 功能简介

当DHCP客户端非正常下线时,不会向DHCP服务器发送报文释放地址租约,这会使DHCP服务器上无法获知DHCP客户端下线,导致地址租约浪费。开启本功能后,当设备上的某条ARP表项老化后,DHCP Snooping就认为该表项对应的DHCP客户端已经下线,则会删除对应的DHCP Snooping表项,并构造DHCP-RELEASE报文通知DHCP服务器删除对应的IP地址租约。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCP Snooping的用户下线探测功能。

(3)     dhcp snooping client-detect

缺省情况下,DHCP Snooping的用户下线探测功能处于关闭状态。

1.12  开启DHCP Snooping日志和告警功能

1.12.1  开启DHCP Snooping日志信息功能

1. 功能简介

DHCP Snooping日志可以方便管理员定位问题和解决问题。DHCP Snooping设备生成DHCP Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。

2. 配置限制和指导

当DHCP Snooping设备输出大量日志信息时,可能会降低设备性能。为了避免该情况的发生,用户可以关闭DHCP Snooping日志信息功能,使得DHCP Snooping设备不再输出日志信息。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCP Snooping日志信息功能。

dhcp snooping log enable

缺省情况下,DHCP Snooping日志信息功能处于关闭状态。

1.12.2  开启DHCP Snooping报文丢弃告警功能

1. 功能简介

开启本功能后,当指定检查功能丢弃的报文数等于通过dhcp snooping alarm threshold命令指定的报文丢弃告警阈值时,设备就会生成相应的告警日志信息。告警后当前统计数据即被清除,设备开启新一轮统计,当DHCP Snooping丢弃的报文数再次达到阀值时,设备会继续输出告警日志。生成的日志信息将会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

2. 配置限制和指导

只有开启DHCP Snooping日志信息功能(通过dhcp snooping log enable命令),才能输出告警日志信息。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCP Snooping报文丢弃告警功能。

dhcp snooping alarm { giaddr | mac-address | request-message } enable

缺省情况下,DHCP Snooping报文丢弃告警功能处于关闭状态。

(3)     设置DHCP Snooping报文丢弃告警阈值。

dhcp snooping alarm { giaddr | mac-address | request-message } threshold threshold

缺省情况下,DHCP Snooping报文丢弃的告警阈值为100。

1.13  关闭接口的DHCP Snooping功能

1. 功能简介

当管理员在设备或VLAN中开启DHCP Snooping功能后,该设备或整个VLAN内的所有接口也都开启了DHCP Snooping功能。为了灵活控制DHCP Snooping功能生效的接口范围,用户可以通过本功能关闭某个接口上的DHCP Snooping功能。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图

interface interface-type interface-number

(3)     关闭接口的DHCP Snooping功能。

dhcp snooping disable

缺省情况下,当接口所在VLAN或设备上已经开启DHCP Snooping功能,接口的DHCP Snooping功能是开启的;当接口所在VLAN或设备上未开启DHCP Snooping功能,接口的DHCP Snooping功能是关闭的。

1.14  DHCP Snooping显示和维护

1.14.1  显示DHCP Snooping的配置

可在任意视图下执行以下命令:

·     显示信任端口信息。

display dhcp snooping trust

·     显示DHCP Snooping上Option 82的配置信息。

display dhcp snooping information { all | interface interface-type interface-number }

1.14.2  显示和清除DHCP Snooping表项信息

可在任意视图下执行以下命令:

·     显示DHCP Snooping表项信息。

display dhcp snooping binding [ ip ip-address [ vlan vlan-id ] ] [ verbose ]

·     显示DHCP Snooping表项备份信息。

display dhcp snooping binding database

请在用户视图下执行以下命令,清除DHCP Snooping表项信息。

reset dhcp snooping binding { all | ip ip-address [ vlan vlan-id ] }

1.14.3  显示和清除DHCP Snooping设备上的DHCP报文统计信息

可在任意视图下执行以下命令,显示DHCP Snooping设备上的DHCP报文统计信息。

display dhcp snooping packet statistics

请在用户视图下执行以下命令,清除DHCP Snooping设备上的DHCP报文统计信息。

reset dhcp snooping packet statistics

1.14.4  显示DHCP Snooping记录的DRNI接口信息

可在任意视图下执行以下命令,显示DHCP Snooping记录的DRNI接口信息。

display dhcp snooping drni-status

1.14.5  显示和清除DRNI组网中DHCP Snooping记录的同步表项统计信息

可在任意视图下执行以下命令,显示DRNI组网中DHCP Snooping记录的同步表项统计信息。

display dhcp snooping drni-statistics

请在用户视图下执行以下命令,DHCP Snooping记录的DRNI同步表项统计信息。

reset dhcp snooping drni-statistics

1.15  DHCP Snooping典型配置举例

1.15.1  DHCP Snooping配置举例

1. 组网需求

AC通过以太网端口GigabitEthernet1/0/1连接到DHCP服务器,通过GigabitEthernet1/0/2连接到AP。要求:

·     与DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。

·     记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。

2. 组网图

图1-3 DHCP Snooping组网示意图

 

3. 配置步骤

# 配置AC基本功能(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”)(略)。

# 开启DHCP Snooping功能。

<AC> system-view

[AC] dhcp snooping enable

# 设置GigabitEthernet1/0/1端口为信任端口。

[AC] interface gigabitethernet 1/0/1

[AC-GigabitEthernet1/0/1] dhcp snooping trust

[AC-GigabitEthernet1/0/1] quit

# 在GigabitEthernet1/0/2上开启DHCP Snooping表项功能。

[AC] interface gigabitethernet 1/0/2

[AC-GigabitEthernet1/0/2] dhcp snooping binding record

[AC-GigabitEthernet1/0/2] quit

4. 验证配置

配置完成后,DHCP客户端只能从DHCP服务器获取IP地址和其它配置信息,且使用display dhcp snooping binding可查询到获取到的DHCP Snooping表项。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们