9300交换机支持配置dhcp服务器

9300交换机配置DHCP介绍

9300交换机支持配置dhcp服务器功能的版本为V100R002系列版本。

配置9300交换机的DHCP服务器示例

组网需求

如图1所示，S9300应用为DHCP服务器，为同一网段中的客户端动态分配IP地址。地址池网段10.1.1..0/24分为两个网段：10.1.1.0/25和10.1.1.128/25。DHCP服务器两个VLANIF接口的IP地址分别为10.1.1.1/25和10.1.1.129/25。

网段10.1.1.0/25网段的DNS地址为20.1.1..1，出口网关地址为10.1.1.1。

网段10.1.1.128/25网段的DNS地址为20..1.1.1，出口网关地址为10.1.1.129。 图1 配置基于全局地址池的DHCP服务器组网图

配置思路

DHCP服务器的配置思路如下：

1. 启动DHCP服务。

2. 创建地址池并配置地址池的相关属性，如地址池范围、出口网关等。

9300交换机配置DHCP介绍

3. 配置VLANIF接口下本地DHCP服务器的地址分配方式。

数据准备

要完成此配置举例，需要准备以下数据：

地址池编号及范围

操作步骤

1. 启动DHCP服务。 2. <Quidway> system-view

[Quidway] dhcp enable

3. 创建地址池并配置相关属性。

# 配置IP地址池1的属性（地址池范围、DNS地址、出口网关）。 [Quidway] ip pool 1

[Quidway-ip-pool-1] network 10.1.1.0 mask 255.255.255.128

[Quidway-ip-pool-1] dns-list 20.1.1.1

[Quidway-ip-pool-1] gateway-list 10.1.1.1

[Quidway-ip-pool-1] quit

# 配置IP地址池2的属性（地址池范围、DNS地址、出口网关） [Quidway] ip pool 2

[Quidway-ip-pool-2] network 10.1.1.128 mask 255.255.255.128

[Quidway-ip-pool-2] dns-list 20.1.1.1

[Quidway-ip-pool-2] gateway-list 10.1.1.129

[Quidway-ip-pool-2] quit

4. 配置VLANIF接口下地址分配方式。

# 配置接口GE1/0/0和GE2/0/0分别加入相应的VLAN。

[Quidway] vlan batch 10 20

9300交换机配置DHCP介绍

[Quidway] interface gigabitethernet 1/0/0

[Quidway-GigabitEthernet1/0/0] port hybrid pvid vlan 10

[Quidway-GigabitEthernet1/0/0] port hybrid untagged vlan 10

[Quidway-GigabitEthernet1/0/0] quit

[Quidway] interface gigabitethernet 2/0/0

[Quidway-GigabitEthernet2/0/0] port hybrid pvid vlan 20

[Quidway-GigabitEthernet2/0/0] port hybrid untagged vlan 20

[Quidway-GigabitEthernet2/0/0] quit

# 配置VLANIF10接口下的客户端从全局地址池中获取IP地址。

[Quidway] interface vlanif 10

[Quidway-Vlanif10] ip address 10.1.1.1 255.255.255.128

[Quidway-Vlanif10] dhcp select global

[Quidway-Vlanif10] quit

# 配置VLANIF20接口下的客户端从全局地址池中获取IP地址。

[Quidway] interface vlanif 20

[Quidway-Vlanif20] ip address 10.1.1.129 255.255.255.128

[Quidway-Vlanif20] dhcp select global

[Quidway-Vlanif20] quit

配置在二层网络中应用DHCP Snooping示例

组网需求

如图1所示，DHCP Client通过VLAN10接入S9300。其中DHCP Client1使用动态分配的IP地址；DHCP Client2使用静态分配的IP地址。要求在S9300的用户侧接口GE1/0/0和GE1/0/1上配置DHCP Snooping功能，以防止以下类型的攻击：

9300交换机配置DHCP介绍

DHCP Server仿冒者攻击

仿冒DHCP续租报文攻击

图1 配置DHCP Snooping功能组网图

配置思路

采用如下的思路配置DHCP Snooping的基本功能：

1. 在全局视图和接口视图下使能DHCP Snooping。

2. 配置Trusted/Untrusted接口，防止DHCP Server仿冒者攻击。

3. 配置DHCP Snooping绑定表，对DHCP Request报文进行匹配绑定检查，防止仿冒

DHCP续租报文攻击。

4. 配置CHADDR值检查，防止改变CHADDR值的DoS攻击。

数据准备

为完成此配置举例，需要准备如下数据：

接口所属的VLAN：VLAN 10。

接口的Trusted/Untrusted模式：GE1/0/0、GE1/0/1为Untrusted模式，GE2/0/0为Trusted

模式。

9300交换机配置DHCP介绍

允许转发的静态IP地址：10.1.1.1/24，对应的MAC地址：0001-0002-0003。

说明：

以下配置步骤中，只列出了和DHCP Snooping配置相关的命令。

操作步骤

1. 使能DHCP Snooping功能

# 使能全局DHCP Snooping功能。 <Quidway> system-view

[Quidway] dhcp enable

[Quidway] dhcp snooping enable

# 使能用户侧接口的DHCP Snooping功能。以GE1/0/0接口为例，GE1/0/1的配置相同，此处省略。 [Quidway] interface gigabitethernet 1/0/0

[Quidway-GigabitEthernet1/0/0] dhcp snooping enable

[Quidway-GigabitEthernet1/0/0] quit

2. 配置Trusted接口

# 将连接DHCP Server侧的接口配置为“Trusted”，将连接DHCP Clinet侧的所有接口使能DHCP Snooping（如果用户侧接口没有配置“Trusted”模式，那么使能了接口的

Snooping特性后，接口模式默认为“Untrusted”），这样可以防止DHCP Server仿冒者攻击。 [Quidway] interface gigabitethernet 2/0/0

[Quidway-GigabitEthernet2/0/0] dhcp snooping trusted

[Quidway-GigabitEthernet2/0/0] quit

3. 配置对DHCP报文的检查

9300交换机配置DHCP介绍

# 在DHCP Clinet侧的接口配置进行DHCP Request报文检查，这样可以防止仿冒DHCP续租报文的攻击。以GE1/0/0接口为例，GE1/0/1的配置相同，此处省略。 [Quidway] interface gigabitethernet 1/0/0

[Quidway-GigabitEthernet1/0/0] dhcp snooping check user-bind enable

[Quidway-GigabitEthernet1/0/0] quit

# 在DHCP Clinet侧的接口配置进行CHADDR检查，这样可以防止改变CHADDR值的DoS攻击。以GE1/0/0接口为例，GE1/0/1的配置相同，此处省略。 [Quidway] interface gigabitethernet 1/0/0

[Quidway-GigabitEthernet1/0/0] dhcp snooping check mac-address enable

[Quidway-GigabitEthernet1/0/0] quit

4. 配置DHCP Snooping绑定表

# 对于使用静态IP的用户，需要单独配置用户静态绑定表项。

[Quidway] user-bind static ip-address 10.1.1.1 mac-address 0001-0002-0003 interface gigabitethernet 1/0/1 vlan 10

本文来源：https://www.bwwdw.com/article/rnp1.html