华为三层交换机5700 DHCP配置

交换机配置DHCP配置

1，交换机作DHCP Server
『配置环境参数』
1. PC1、PC2的网卡均采用动态获取IP地址的方式
2. PC1连接到交换机的以太网端口0/1，属于VLAN10；PC2连接到交换机的以太网端口0/2，属于VLAN20
3. 三层交换机SwitchA的VLAN接口10地址为10.1.1.1/24，VLAN接口20地址为10.1.2.1/24
『组网需求』
1. PC1可以动态获取10.1.1.0/24网段地址，并且网关地址为10.1.1.1；PC2可以动态获取10.1.2.0/24网段地址，并且网关地址为10.1.2.1
『DHCP Server配置流程流程』
可以完成对直接连接到三层交换机的PC机分配IP地址，也可以对通过DHCP中继设备连接到三层交换机的PC机分配IP地址。
分配地址的方式可以采用接口方式，或者全局地址池方式。
【SwitchA采用接口方式分配地址相关配置】
1. 创建（进入）VLAN10
[SwitchA]vlan 10
2. 将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1
3. 创建（进入）VLAN接口10
[SwitchA]interface Vlan-interface 10
4. 为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0
5. 在VLAN接口10上选择接口方式分配IP地址
[SwitchA-Vlan-interface10]dhcp select interface
6. 禁止将PC机的网关地址分配给用户
[SwitchA]dhcp server forbidden-ip 10.1.1.1
【SwitchA采用全局地址池方式分配地址相关配置】
1. 创建（进入）VLAN10
[SwitchA]vlan 10
2. 将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1
3. 创建（进入）VLAN接口10
[SwitchA]interface Vlan-interface 10
4. 为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0
5. 在VLAN接口10上选择全局地址池方式分配IP地址
[SwitchA-Vlan-interface10]dhcp select global
6. 创建全局地址池，并命名为”vlan10”
[SwitchA]dhcp server ip-pool vlan10
7. 配置vlan10地址池给用户分配的地址范围以及用户的网关地址
[SwitchA-dhcp-vlan10]network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-vlan10]gateway-list 10.1.1.1
8. 禁止将PC机的网关地址分配给用户
[SwitchA]dhcp server forbidden-ip 10.1.1.1
【补充说明】
以上配置以VLAN10的为例，VLAN20的配置参照VLAN10的配置即可。在采用全局地址池方式时，需新建一个与”vlan10”不同名的全局地址池。
经过以上配置，可以完成为PC1分配的IP地址为10.1.1.0/24，同时PC1的网关地址为10.1.1.1；为PC2分配的IP地址为10.1.2.0/24，同时PC2的网关地址为10.1.2.1。
VLAN接口默认情况下以全局地址池方式进行地址分配，因此当VLAN接口配置了以全局地址池方式进行地址分配后，查看交换机当前配置时，在相应的VLAN接口下无法看到有关DHCP的配置。
利用全局地址池方式，可以完成为用户分配与三层交换机本身VLAN接口地址不同网段的IP地址。
2，DHCP Relay配置
『配置环境参数』
1. DHCP Server的IP地址为192.168.0.10/24
2. DHCP Server连接在交换机的G1/1端口，属于vlan100，网关即交换机vlan接口100的地址192.168.0.1/24
3. E0/1-E0/10属于vlan10，网段地址10.10.1.1/24
4. E0/11-E0/20属于vlan20，网段地址10.10.2.1/24
『组网需求』
1. 在SwitchA上配置DHCP Relay使下面用户动态获取指定的相应网段的IP地址
2. PC1、PC2均可以ping通自己的网关，同时PC1、PC2之间可以互访
『交换机DHCP Relay配置流程』
DHCP Relay的作用则是为了适应客户端和服务器不在同一网段的情况，通过Relay，不同子网的用户可以到同一个DHCP Server申请IP地址，这样便于地址池的管理和维护。
【SwitchA相关配置】
1. 全局使能DHCP功能（缺省情况下，DHCP功能处于使能状态）
[SwitchA]dhcp enable
2. 创建（进入）VLAN100
[SwitchA]vlan 100
3. 将G1/1加入到VLAN100
[SwitchA-vlan100]port GigabitEthernet 1/1
4. 创建（进入）VLAN接口100 
[SwitchA]interface Vlan-interface 100
5. 为VLAN接口100配置IP地址
[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0
6. 创建（进入）VLAN10
[SwitchA]vlan 10
7. 将E0/1-E0/10加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
8. 创建（进入）VLAN接口10
[SwitchA]interface Vlan-interface 10
9. 为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0
10. 使能VLAN接口10的DHCP中继功能
[SwitchA-Vlan-interface10]dhcp select relay
11. 为VLAN接口10配置DHCP服务器的地址
[SwitchA-Vlan-interface10]ip relay address 192.168.0.10
12. 创建（进入）VLAN20
[SwitchA-vlan10]vlan 20
13. 将E0/11-E0/20加入到VLAN20
[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20
14. 创建（进入）VLAN接口20
[SwitchA]interface Vlan-interface 20
15. 为VLAN接口20配置IP地址
[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0
16. 使能VLAN接口20的DHCP中继功能
[SwitchA-Vlan-interface20]dhcp select relay
17. 为VLAN接口20配置DHCP服务器的地址
[SwitchA-Vlan-interface20]ip relay address 192.168.0.10
【补充说明】
也可以在全局配置模式下，使能某个或某些VLAN接口上的DHCP中继功能，例如：[SwitchA]dhcp select relay interface Vlan-interface 10
3，DHCP Snooping
『配置环境参数』
1. DHCP Server连接在交换机SwitchA的G1/1端口，属于vlan10，IP地址为10.10.1.253/24
2. 端口E0/1和E0/2同属于vlan10
『组网需求』
1. PC1、PC2均可以从指定DHCP Server获取到IP地址
2. 防止其他非法的DHCP Server影响网络中的主机
『交换机DHCP-Snooping配置流程』
当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。
【SwitchA相关配置】
1. 创建（进入）VLAN10
[SwitchA]vlan 10
2. 将端口E0/1、E0/2和G1/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1
3. 全局使能dhcp-snooping功能
[SwitchA]dhcp-snooping
4. 将端口G1/1配置为trust端口，
[SwitchA-GigabitEthernet1/1]dhcp-snooping trust
【补充说明】
由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文――”dhcp offer”报文，由G1/1端口进入SwitchA并进行转发，因此需要将端口G1/1配置为”trust”端口。如果SwitchA上行接口配置为Trunk端口，并且连接到DHCP中继设备，也需要将上行端口配置为”trust”端口。