① 簡單的dhcp 配置(基于接口的dhcp)interface Ethernet0/0/0dhcp select interfacedhcp server dns-list 114.114.114.114 8.8.8.8注意:配置設定接口所在的ip網段,接口位址作為網關。
注意:使用者發送的第一個封包:源位址是0.0.0.0 目标位址是
255.255.255.255 。② dhcp 中繼 :dhcp relay
dhcp 調試指令:
dis ip pool 檢視dhcp 池摘要
顯示dhcp 哪些位址被使用
dis ip pool interface vlanif100 used
dis ip pool int Ethernet0/0/0/0 used
重置dhcp 配置設定記錄
reset ip pool interface vlanif100 used
reset ip pool interface Ethernet0/0/0/0 used
reset ip pool name a used
注意:Ethernet0/0/0/0 不要簡寫
R2:(模拟dhcp server)
ip pool a
gateway-list 192.168.8.1
network 192.168.8.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
ip pool b
gateway-list 192.168.9.1
network 192.168.9.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
int e0/0/0
dhcp select global
ip route-s 0.0.0.0 0 12.1.1.1 模拟網關
vlan trunk 配置略
dhcp中繼:
sw1:
interface Vlanif8ip address 192.168.8.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 12.1.1.2
interface Vlanif9
ip address 192.168.9.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 12.1.1.2
dhcp 中繼原理:由于dhcp伺服器和使用者不在同一個vlan(即不在一個廣播
域),是以dhcp 廣播封包無法發送到dhcp 伺服器,此時在核心交換機上面
配置dhcp中繼 将dhcp 廣播請求變為單點傳播發送到dhcp 伺服器。源位址由
0.0.0.0 變成相應vlanif 接口的ip位址,目标位址由255.255.255.255 變成
dhcp 伺服器的單點傳播位址。廣播包變成單點傳播包被中繼到dhcp 伺服器,完成地
址配置設定。
③ dhcp snooping :防止非法的dhcp 伺服器
接入層交換機:
sw2:
dhcp enable
dhcp snooping enable
vlan 8
dhcp snooping enable
int e0/0/2 将上聯口設定為信任接口(預設所有的接口都是非信任口)
dhcp snooping trusted
sw3:和sw2 類似
④ dhcp 可選配置
排除位址:
R2:ip pool a
excluded-ip-address 192.168.8.250 192.168.8.254
給固定該的mac位址配置設定固定的ip位址:
ip pool a
static-bind ip-address 192.168.8.8 mac-address 5489-987d-4dff
注意:如果指令報沖突錯誤,需要在使用者端ipconfig /release 即可。
⑤ dhcp 安全防護
禁止使用者手動配置靜态ip位址,防止ip位址沖突(模拟器不支
持)
利用dhcp snooping 建立ip-mac-接口 的檢查映射表項(适合
企業使用者采用動态ip擷取的企業)
接入交換機:
dis dhcp snooping user-bind all
該表是一個動态表,插拔接口 或者從新擷取位址,該表都會被
重新整理掉!
注意:該映射表是交換機通過窺探dhcp 封包而建立的映射表。
int e0/0/1 (連接配接使用者的接口)
ip source check user-bind enable 開啟ip源位址檢查功能
此時如果使用者手動配置靜态位址,由于接口沒有映射,此時交換機會直接将
封包丢棄。(模拟器bug ,不支援)
使用user-bind static 靜态建立ip-mac-接口 檢查表項(這種方
法适用于企業靜态給使用者配置ip位址的情況):防止使用者私自修
改ip位址。
全局 user-bind static ip-address 192.168.31.7 mac-address
0021-cccf-1d28 interface Ethernet0/0/2
interface Ethernet0/0/2
ip source check user-bind enable
即可 接在e0/0/2口的PC 隻能是31.7 mac是1d28 才可以 通過
e0/0/2口 若ip和mac 不比對則封包将被直接丢棄 (模拟器bug
不支援)。
檢視使用者手動靜态的綁定表項
s2700 EI (V100R005)
檢視使用者手動靜态的綁定表項
模拟器 s3700 (V200R001)
可選配置:
将dhcp snooping 動态綁定表項 儲存到flash 防止重新開機丢失
[ ]dhcp snooping user-bind autosave flash:/backup.tbl