網絡知識-14 dhcp 進階配置

① 簡單的dhcp 配置（基于接口的dhcp）interface Ethernet0/0/0dhcp select interfacedhcp server dns-list 114.114.114.114 8.8.8.8注意：配置設定接口所在的ip網段，接口位址作為網關。

注意：使用者發送的第一個封包：源位址是0.0.0.0 目标位址是

255.255.255.255 。② dhcp 中繼 ：dhcp relay

dhcp 調試指令：

dis ip pool 檢視dhcp 池摘要

顯示dhcp 哪些位址被使用

dis ip pool interface vlanif100 used

dis ip pool int Ethernet0/0/0/0 used

重置dhcp 配置設定記錄

reset ip pool interface vlanif100 used

reset ip pool interface Ethernet0/0/0/0 used

reset ip pool name a used

注意：Ethernet0/0/0/0 不要簡寫

R2:（模拟dhcp server）

ip pool a

gateway-list 192.168.8.1

network 192.168.8.0 mask 255.255.255.0

dns-list 114.114.114.114 8.8.8.8

ip pool b

gateway-list 192.168.9.1

network 192.168.9.0 mask 255.255.255.0

dns-list 114.114.114.114 8.8.8.8

int e0/0/0

dhcp select global

ip route-s 0.0.0.0 0 12.1.1.1 模拟網關

vlan trunk 配置略

dhcp中繼：

sw1：

interface Vlanif8ip address 192.168.8.1 255.255.255.0

dhcp select relay

dhcp relay server-ip 12.1.1.2

interface Vlanif9

ip address 192.168.9.1 255.255.255.0

dhcp select relay

dhcp relay server-ip 12.1.1.2

dhcp 中繼原理：由于dhcp伺服器和使用者不在同一個vlan(即不在一個廣播

域），是以dhcp 廣播封包無法發送到dhcp 伺服器，此時在核心交換機上面

配置dhcp中繼 将dhcp 廣播請求變為單點傳播發送到dhcp 伺服器。源位址由

0.0.0.0 變成相應vlanif 接口的ip位址，目标位址由255.255.255.255 變成

dhcp 伺服器的單點傳播位址。廣播包變成單點傳播包被中繼到dhcp 伺服器，完成地

址配置設定。

③ dhcp snooping ：防止非法的dhcp 伺服器

接入層交換機：

sw2：

dhcp enable

dhcp snooping enable

vlan 8

dhcp snooping enable

int e0/0/2 将上聯口設定為信任接口（預設所有的接口都是非信任口）

dhcp snooping trusted

sw3：和sw2 類似

④ dhcp 可選配置

排除位址：

R2：ip pool a

excluded-ip-address 192.168.8.250 192.168.8.254

給固定該的mac位址配置設定固定的ip位址：

ip pool a

static-bind ip-address 192.168.8.8 mac-address 5489-987d-4dff

注意：如果指令報沖突錯誤，需要在使用者端ipconfig /release 即可。

⑤ dhcp 安全防護

禁止使用者手動配置靜态ip位址，防止ip位址沖突（模拟器不支

持）

利用dhcp snooping 建立ip-mac-接口 的檢查映射表項（适合

企業使用者采用動态ip擷取的企業）

接入交換機：

dis dhcp snooping user-bind all

該表是一個動态表，插拔接口 或者從新擷取位址，該表都會被

重新整理掉！

注意：該映射表是交換機通過窺探dhcp 封包而建立的映射表。

int e0/0/1 (連接配接使用者的接口）

ip source check user-bind enable 開啟ip源位址檢查功能

此時如果使用者手動配置靜态位址，由于接口沒有映射，此時交換機會直接将

封包丢棄。（模拟器bug ，不支援）

使用user-bind static 靜态建立ip-mac-接口 檢查表項（這種方

法适用于企業靜态給使用者配置ip位址的情況）：防止使用者私自修

改ip位址。

全局 user-bind static ip-address 192.168.31.7 mac-address

0021-cccf-1d28 interface Ethernet0/0/2

interface Ethernet0/0/2

ip source check user-bind enable

即可 接在e0/0/2口的PC 隻能是31.7 mac是1d28 才可以 通過

e0/0/2口 若ip和mac 不比對則封包将被直接丢棄 （模拟器bug

不支援）。

檢視使用者手動靜态的綁定表項

s2700 EI (V100R005)

檢視使用者手動靜态的綁定表項

模拟器 s3700 （V200R001）

可選配置：

将dhcp snooping 動态綁定表項 儲存到flash 防止重新開機丢失

[ ]dhcp snooping user-bind autosave flash:/backup.tbl