所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
DHCP Snooping配置命令

DHCP Snooping配置命令

dhcp snooping user-bind arp-detect enable

命令功能

dhcp snooping user-bind arp-detect enable命令用来使能ARP与DHCP Snooping的联动功能。

undo dhcp snooping user-bind arp-detect enable命令用来去使能ARP与DHCP Snooping的联动功能。

缺省情况下,设备没有使能ARP与DHCP Snooping的联动功能。

命令格式

dhcp snooping user-bind arp-detect enable

undo dhcp snooping user-bind arp-detect enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当客户端申请到IP地址后异常下线时,客户端无法发出DHCP Release报文来释放已经申请的IP地址,这样会造成IP资源的浪费。此时,可以使用该命令使能ARP与DHCP Snooping的联动功能。

前置条件

在使能ARP与DHCP Snooping的联动功能之前,设备需已配置为DHCP Relay并使用命令dhcp snooping enable使能了DHCP Snooping功能。

注意事项

配置ARP与DHCP Snooping联动功能后:
  • 系统会周期性地对该IP地址进行ARP探测,如果在规定的探测次数内(探测次数的配置命令为arp detect times)探测不到用户,则系统会删除DHCP绑定表表项,并且构造Release报文通知DHCP服务器,释放IP地址。
  • 如果查询不到用户ARP表项,会发送ARP报文探测用户,网络上的ARP报文流量会增加。

使用实例

# 使能设备的ARP与DHCP Snooping联动功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] dhcp snooping user-bind arp-detect enable

dhcp option82 enable

命令功能

dhcp option82 enable命令用来使能在DHCP报文中添加Option82选项功能。

undo dhcp option82 enable命令用来去使能在DHCP报文中添加Option82选项功能。

缺省情况下,未使能在DHCP报文中添加Option82选项功能。

命令格式

dhcp option82 { insert | rebuild } enable

undo dhcp option82 { insert | rebuild } enable

参数说明

参数 参数说明 取值
insert

指定使能在DHCP报文中插入Option82选项功能。

-
rebuild

指定使能在DHCP报文中强制插入Option82选项功能。

-

视图

VLAN视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

Option82选项记录了DHCP Client的位置信息。设备通过在DHCP请求报文中添加Option82选项,可将DHCP Client的位置信息发送给DHCP Server,从而使得DHCP Server能够根据Option82选项的内容为DHCP Client分配合适的IP地址和其他配置信息,并实现对客户端的安全控制。

使能在DHCP报文中添加Option82选项功能,分为Insert和Rebuild两种方式,使能方式不同设备对报文的处理也不同。
  • Insert方式:当设备收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项;若该报文中含有Option82选项,则判断Option82选项中是否包含remote-id,如果包含,则保持Option82选项不变,如果不包含,则插入remote-id。

  • Rebuild方式:当设备收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项;若该报文中含有Option82选项,则删除该Option82选项并插入管理员自己在设备上配置的Option82选项。

对于Insert和Rebuild两种方式,当设备接收到DHCP服务器的响应报文时,处理方式一致。

  • DHCP响应报文中有Option82选项:
    • 如果设备收到的DHCP请求报文中没有Option82选项,则设备将删除DHCP响应报文中的Option82选项,之后转发给DHCP Client。
    • 如果设备收到的DHCP请求报文中有Option82选项,则设备将DHCP响应报文中的Option82选项格式还原为DHCP请求报文中的Option82选项,之后转发给DHCP Client。
  • DHCP响应报文不含有Option82选项:直接转发。
说明:

设备在收到DHCP请求报文时首先会检测报文中的giadder字段是否为零,为零则命令dhcp option82 enable功能生效,否则不生效。

在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效;在接口下执行该命令,则仅对该接口接收到的所有DHCP报文命令功能生效。

DHCP Option82必须配置在设备的用户侧,否则设备向DHCP Server发出的DHCP报文不会携带Option82选项内容。

前置条件

在使能DHCP报文中插入Option82选项功能之前,需确保设备已使能了DHCP Snooping功能或支持并已配置为DHCP Relay。

使用实例

# 在二层以太网接口10GE1/0/1上使能在DHCP报文中插入Option82选项功能。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] dhcp option82 insert enable
# 在三层以太网接口10GE1/0/1上使能在DHCP报文中插入Option82选项功能。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] dhcp option82 insert enable
# 在VLAN100内使能在DHCP报文中强制插入Option82选项功能。
<HUAWEI> system-view
[~HUAWEI] vlan 100
[*HUAWEI-vlan100] dhcp option82 rebuild enable

dhcp option82 format

命令功能

dhcp option82 format命令用来配置在DHCP报文中添加的Option82选项的格式。

undo dhcp option82 format命令用来恢复在DHCP报文中添加的Option82选项的格式为缺省格式。

缺省情况下,DHCP报文中添加的Option82选项的格式为default

命令格式

系统视图,三层以太网接口视图

dhcp option82 [ circuit-id | remote-id ] format { default | common | extend | user-defined text }

undo dhcp option82 [ circuit-id | remote-id ] format

二层以太网接口视图:

dhcp option82 [ vlan vlan-id ] [ circuit-id | remote-id ] format { default | common | extend | user-defined text }

undo dhcp option82 [ vlan vlan-id ] [ circuit-id | remote-id ] format

参数说明

参数 参数说明 取值
circuit-id 指定配置Option82的circuit-id(CID)子选项。若不选择该子选项,则其格式为缺省格式default -
remote-id 指定配置Option82的remote-id(RID)子选项。若不选择该子选项,则其格式为缺省格式default -
default

指定Option82选项为默认格式。

  • CID格式:接口名:svlan.cvlan主机名/0/0/0/0/0,ASCII封装。
  • RID格式:设备MAC,HEX封装。
-
common

指定Option82选项为通用格式。

  • CID格式:{eth|trunk}堆叠号/子卡号/端口号:svlan.cvlan主机名/0/0/0/0/0,ASCII封装。
  • RID格式:设备MAC(6byte),ASCII封装。
-
extend

指定Option82选项为扩展格式。

  • CID格式:circuit-id type(0)+ length(4)+SVLAN(2byte)+slot(5bit)+subslot(3bit)+port(1byte),HEX封装。

  • RID格式:remote-id type(0)+length(6)+mac(6byte),HEX封装。

括号中的0或4表示该字段固定填0或4;2byte表示该字段长度为2字节;5bit表示该字段长度为5位。

-
user-defined text 指定Option82选项格式为用户自定义格式。

字符串格式,长度范围是1~255。详细要求请参见“使用指南”中的描述。

vlan vlan-id 指定VLAN的编号。若指定VLAN,则仅会配置属于该VLAN的DHCP报文中的Option82选项的格式;若不指定VLAN,则会配置接口收到的所有DHCP报文中的Option82选项的格式。 整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

使能在DHCP报文中添加Option82选项功能后,可根据情况通过命令dhcp option82 format配置添加的Option82选项的格式。
说明:

在系统视图下执行该命令,则对设备所有的接口该命令功能生效。

用户自定义Option82的格式时,可以使用如下的关键字。格式化字符串可以定义为HEX封装的格式、ASCII封装的格式或者HEX和ASCII混合的封装格式。
  • sysname:接入点标识。只允许出现在ASCII格式中。
  • portname:接口名。如10GE1/0/1,只允许出现在ASCII格式中。
  • porttype:接口类型。允许定义在字符串格式和HEX格式中。比如定义在ASCII格式中封装内容为Ethernet,而定义在HEX格式中封装内容为15。
  • iftype:接口类型。包括eth、trunk,只允许出现在ASCII格式中。
  • mac:接口MAC地址。在ASCII格式中是H-H-H形式,在HEX中则用6字节按顺序封装。
  • slot:堆叠号。允许定义在ASCII格式和HEX格式中。
  • subslot:子堆叠号。允许定义在ASCII格式和HEX格式中。
  • port:端口号。允许定义在ASCII格式和HEX格式中。
  • svlan:外层vlan,取值范围1~4094,保留VLAN ID(通过命令vlan reserved配置)除外,如果没有默认填0。允许定义在ASCII格式和HEX格式中。
  • cvlan:内层vlan,取值范围1~4094,保留VLAN ID(通过命令vlan reserved配置)除外,如果没有默认填0。允许定义在ASCII格式和HEX格式中。
  • length:length关键字后面内容的总长度,不包括length关键字的长度。
  • n:n在关键字svlan、cvlan的前面表示外层VLAN或内层VLAN不存在时的取值。VLAN不存在时,在ASCII中默认取4096,HEX中默认取全F。如果前面加n表示取0。允许定义在ASCII格式和HEX格式中。
说明:

关键字之间应该要有分隔符,不然可能出现无法解析的情况。所以约定:任意两个关键字之间必须要有非数字的分隔符。

特殊含义字符的解释如下:
  • %后面跟上面定义的关键字表示格式化的格式。
  • %号后面关键字前面可以跟数字表示格式化的长度。在ASCII格式字符串中,"%05"与C语言中"%05d"意思一样。在HEX格式字符串中,该数字表明封装时后面关键字占用多少bit。
  • []里面的表示可选项,里面只能有一个关键字svlan、cvlan之一。表示该关键字存在的话才封装进去,并且该符号不允许嵌套,以便于语法检查。
  • \表示转义字符,\后面的特殊字符%\[]表示字符本身。比如\\表示字符\。
  • ""表示双引号扩起来的内容使用字符串格式进行封装,否则,没有双引号或者双引号之外的内容使用HEX进行封装。
  • 其他的符号都作为普通字符处理。ASCII格式和HEX格式封装时的规则如下:
    • ASCII格式字符串中可以允许的字符包含0~9、a~z、A~Z、以及这些符号:!@#$%^&*()_+|-=\[]{};:'"/?.,<>`。
    • 在ASCII格式字符串中,各关键字默认长度取实际长度。
    • HEX格式字符串中可以允许出现数字、空格、%+关键字。
    • HEX格式字符串中,数字将直接以16进制形式封装进option82中。0~255之间的数字占用一个字节;256~65535之间的数字占用2个字节;65536~4294967295之间的数字占用4个字节。不支持更大的数字。如果需要封装多个连续的数字,各数字之间以空格分开,否则认为是一个数字。
    • 封装HEX格式时,将忽略HEX格式字符串中所有空格。
    • 在HEX格式字符串中,堆叠号、子堆叠号、端口号、vlan关键字默认占用2个字节。length默认占用1个字节。
    • 在HEX格式字符中,如果指定了各关键字位宽,那么HEX格式总位宽应该是8的整数倍。如果指定的关键字位宽超过32位,则低32位封装实际的值,其他部分填0。
    • 只允许数字型关键字出现在HEX封装中,比如接口名不能以HEX封装。
    • 如果格式字符串未加双引号,则默认封装格式是HEX。如果需要封装ASCII格式,请用""将配置的格式扩起来。比如堆叠号是3,端口号是4,格式%slot %port的封装结果是16进制的00030004;而格式"%slot %port"封装的结果是3 4。
    • 支持HEX与ASCII的混合配置,比如配置格式为 %slot %port "%sysname %portname:%svlan.%cvlan"是允许的。

使用实例

# 配置Option82选项的CID使用默认格式。

<HUAWEI> system-view
[~HUAWEI] dhcp option82 circuit-id format default

# 配置Option82选项的CID和RID使用扩展格式。

<HUAWEI> system-view
[~HUAWEI] dhcp option82 format extend

# 配置Option82的CID为自定义的格式,按ASCII封装接口名、外层VLAN、内层VLAN、系统名。

<HUAWEI> system-view
[~HUAWEI] dhcp option82 circuit-id format user-defined "%portname:%svlan.%cvlan %sysname"

# 配置Option82的CID为自定义的格式,按HEX封装CID类型(固定填0,表示是HEX封装)、长度(不包含CID类型和长度域)、外层VLAN、堆叠号(占5bit)、子堆叠号(占3bit)、端口号(占8bit)。

<HUAWEI> system-view
[~HUAWEI] dhcp option82 circuit-id format user-defined 0 %length %svlan %5slot %3subslot %8port

# 配置Option82的RID格式为自定义格式,填充按HEX封装的设备MAC。

<HUAWEI> system-view
[~HUAWEI] dhcp option82 remote-id format user-defined %mac

# 在二层以太网接口10GE1/0/1下配置Option82选项的CID使用默认格式。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] dhcp option82 circuit-id format default

# 在二层以太网接口10GE1/0/1下配置VLAN10的DHCP报文中添加Option82选项的CID和RID使用扩展格式。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] dhcp option82 vlan 10 format extend

# 在二层以太网接口10GE1/0/1下配置Option82的CID为自定义的格式,按ASCII封装接口名、外层VLAN、内层VLAN、系统名。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] dhcp option82 circuit-id format user-defined "%portname:%svlan.%cvlan %sysname"

# 在二层以太网接口10GE1/0/1下配置Option82的CID为自定义的格式,按HEX封装CID类型:0(HEX格式字符串)、长度(不包含CID类型和长度域)、外层VLAN、堆叠号(占5bit)、子堆叠号(占3bit)、端口号(占8bit)。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] dhcp option82 circuit-id format user-defined 0 %length %svlan %5slot %3subslot %8port

# 在二层以太网接口10GE1/0/1下配置Option82的RID格式为自定义格式,填充按HEX封装的设备MAC。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] dhcp option82 remote-id format user-defined %mac
# 在三层以太网接口10GE1/0/1下配置Option82选项的CID使用默认格式。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] dhcp option82 circuit-id format default

dhcp option82 vendor-specific format(系统视图)

命令功能

dhcp option82 vendor-specific format命令用来配置在DHCP报文中插入Option82选项的Sub9子选项的格式。

undo dhcp option82 vendor-specific format命令用来取消对Option82选项的Sub9字段的格式的配置。

缺省情况下,未配置在DHCP报文中插入Option82选项的Sub9子选项的格式。

命令格式

dhcp option82 vendor-specific format vendor-sub-option sub-option-num { ascii ascii-text | hex hex-text | ip-address ip-address &<1-8> | sysname }

undo dhcp option82 vendor-specific format vendor-sub-option sub-option-num

参数说明

参数 参数说明 取值
vendor-sub-option sub-option-num 指定Sub9子选项。 整数形式,取值范围是1~255。
ascii ascii-text 指定Sub9字段中厂商自定义的子选项中插入的ASCII字符串。 ASCII字符串形式,长度小于129个字符。
hex hex-text 指定Sub9字段中厂商自定义的子选项中插入的HEX字符串。 十六进制字符串形式。只能配置为0~9,A~F或者a~f范围段的字符。去掉空格后长度必须是偶数并且小于257
ip-address ip-address 指定Sub9字段中厂商自定义的子选项中插入的IP地址。 -
sysname 指定Sub9字段中厂商自定义的子选项中插入的设备名称。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在基于DHCP+DHCP Snooping+Option82技术的有线以太网接入认证系统中,设备可以在DHCP请求报文中插入Option82信息(子选项1、子选项2和子选项9),以便运维时能够根据接收到的用户设备DHCP的请求报文来定位该用户设备信息,达到防止用户通过静态指定IP地址以及盗用账号等手段非法接入网络的目的。dhcp option82 vendor-specific format提供对Sub9字段中定制子字段的配置手段。

使用实例

# 配置Sub9字段中厂商自定义的子选项1中插入设备名。

<HUAWEI> system-view
[*HUAWEI] dhcp option82 vendor-specific format vendor-sub-option 1 sysname
相关主题

dhcp snooping server record

命令功能

dhcp snooping server record命令用来使能DHCP Server探测功能。

undo dhcp snooping server record命令用来去使能DHCP Server探测功能。

缺省情况下,未使能DHCP Server探测功能。

命令格式

dhcp snooping server record

undo dhcp snooping server record

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当网络中存在伪DHCP Server时,伪DHCP Server将会回应给DHCP Client仿冒信息,如错误的网关地址、错误的DNS服务器、错误的IP等,从而使Client无法正常访问网络或访问到不正确的网络。

DHCP Snooping设备在使能DHCP Server探测功能之后,将会检查并在日志中记录所有DHCP Reply报文中携带的DHCP Server地址与接口等信息。此后网络管理员可根据日志来判定网络中是否存在伪DHCP Server进而对网络进行维护。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 使能DHCP Server探测功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] dhcp snooping server record

dhcp snooping alarm rate-limit enable

命令功能

dhcp snooping alarm rate-limit enable命令用来使能当丢弃的DHCP报文数达到告警阈值时的告警功能。

undo dhcp snooping alarm rate-limit enable命令用来去使能当丢弃的DHCP报文数达到告警阈值时的告警功能。

缺省情况下,未使能当丢弃的DHCP报文数达到告警阈值时的告警功能。

命令格式

dhcp snooping alarm rate-limit enable

undo dhcp snooping alarm rate-limit enable

参数说明

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

设备在使能DHCP Snooping后,接收到的DHCP Request报文和DHCP Reply报文将会上送到DHCP报文处理单元处理,此时如果报文上送速率过快,将会影响DHCP报文处理单元的处理效率。在使用命令dhcp snooping rate-limit enable使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能之后,设备将会检测DHCP报文的上送速率,并仅允许在规定速率内的报文上送至DHCP报文处理单元,而超过规定速率的报文将会被丢弃。

执行本命令之后,若丢弃的DHCP报文数达到告警阈值时将产生告警。告警阈值可通过命令dhcp snooping alarm rate-limit threshold进行配置。

在系统视图下执行本命令,则对设备所有的接口该命令功能有效;而若在接口视图下执行本命令,则仅针对该接口命令功能有效。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 系统视图下使能当丢弃的DHCP报文数达到告警阈值时的告警功能。
<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] dhcp snooping rate-limit enable
[*HUAWEI] dhcp snooping alarm rate-limit enable

# 在接口10GE1/0/1下使能当丢弃的DHCP报文数达到告警阈值时的告警功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dhcp snooping rate-limit enable
[*HUAWEI-10GE1/0/1] dhcp snooping alarm rate-limit enable

dhcp snooping alarm rate-limit threshold

命令功能

dhcp snooping alarm rate-limit threshold命令用来配置被丢弃的DHCP报文的告警阈值。

undo dhcp snooping alarm rate-limit threshold命令用来恢复被丢弃的DHCP报文的告警阈值为缺省值。

缺省情况下,全局被丢弃的DHCP报文的告警阈值为100packets,接口下被丢弃的DHCP报文的告警阈值为在系统视图下配置的值。

命令格式

dhcp snooping alarm rate-limit threshold threshold

undo dhcp snooping alarm rate-limit threshold

参数说明

参数 参数说明 取值
threshold 指定告警阈值,当丢弃的DHCP报文达到此告警阈值,将产生告警信息。 整数形式,取值范围是1~1000。缺省值为100。

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在使用命令dhcp snooping alarm rate-limit enable使能当丢弃的DHCP报文数达到告警阈值时的告警功能后,可执行本命令配置被丢弃的DHCP报文的告警阈值。当丢弃的DHCP报文数达到此命令设置的告警阈值时,将产生告警信息。

若在系统视图和接口视图下同时配置了被丢弃的DHCP报文的告警阈值,则以最小值为准。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 设置接口10GE1/0/1下检查DHCP报文速率的告警阈值为50。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dhcp snooping alarm rate-limit threshold 50

dhcp snooping alarm enable

命令功能

dhcp snooping alarm enable命令用来使能DHCP Snooping告警功能。

undo dhcp snooping alarm enable命令用来去使能DHCP Snooping告警功能。

缺省情况下,未使能DHCP Snooping告警功能。

命令格式

dhcp snooping alarm { binding | mac-address | untrust-reply } enable

undo dhcp snooping alarm { binding | mac-address | untrust-reply } enable

参数说明

参数 参数说明 取值
binding 指定与绑定表不匹配而被丢弃的DHCP报文数达到阈值时而产生告警。 -
mac-address 指定数据帧头MAC地址与DHCP报文中的CHADDR字段不一致被丢弃的报文达到阈值时而产生告警。 -
untrust-reply 指定非信任接口丢弃DHCP Server回应报文数达到阈值时而产生告警。 -

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

使能告警功能后如果有对应的攻击,并且丢弃的攻击报文超过阈值,会有相应的告警信息出现。发送告警的最小时间间隔为1分钟。告警阈值可以通过dhcp snooping alarm threshold命令配置。

前置条件

执行本命令之前需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

为使命令功能生效,在执行命令dhcp snooping alarm binding enabledhcp snooping alarm mac-address enable之前,需确保已在对应接口视图上执行命令dhcp snooping check binding enabledhcp snooping check mac-address enable

使用实例

# 在接口10GE1/0/1上使能DHCP Snooping,使能mac-address检查,并使能mac-address检查的丢弃报文告警功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dhcp snooping enable
[*HUAWEI-10GE1/0/1] dhcp snooping check mac-address enable
[*HUAWEI-10GE1/0/1] dhcp snooping alarm mac-address enable

dhcp snooping alarm threshold

命令功能

dhcp snooping alarm threshold命令用来配置DHCP Snooping丢弃报文数量的告警阈值。

undo dhcp snooping alarm threshold命令用来恢复告警阈值为缺省值。

缺省情况下,全局DHCP Snooping丢弃报文数量的告警阈值为100packets,接口下DHCP Snooping丢弃报文数量的告警阈值为在系统视图下使用命令dhcp snooping alarm threshold配置的值。

命令格式

系统视图:

dhcp snooping alarm threshold threshold

undo dhcp snooping alarm threshold

接口视图:

dhcp snooping alarm { binding | mac-address | untrust-reply } threshold threshold

undo dhcp snooping alarm { binding | mac-address | untrust-reply } threshold

参数说明

参数 参数说明 取值
threshold 指定DHCP Snooping丢弃报文的告警阈值。 整数形式,取值范围是1~1000。
binding 指定与绑定表不匹配而被丢弃的DHCP报文的告警阈值。 -
mac-address 指定帧头MAC地址与DHCP数据区中CHADDR字段不匹配而被丢弃的DHCP报文的告警阈值。 -
untrust-reply 指定非信任接口丢弃的DHCP Server回应报文的告警阈值。 -

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在使能DHCP Snooping告警功能之后,可使用命令dhcp snooping alarm threshold配置DHCP Snooping丢弃报文数量的告警阈值。如果没有配置接口的告警阈值,那么接口下的告警阈值就是全局的配置值。
说明:

在系统视图下执行该命令,则对设备所有的接口该命令功能生效。

前置条件

执行本命令之前需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

为保证命令功能生效,在接口视图下执行本命令之前,需使用命令dhcp snooping alarm { binding | mac-address | untrust-reply } enable使能相应接口的告警功能。

注意事项

若在系统视图下配置DHCP Snooping丢弃报文数量的告警阈值,则为设备丢弃的所有类型报文数达到阈值时将会告警。

当在系统视图和接口视图下同时配置了DHCP Snooping丢弃报文数量的告警阈值,则设备丢弃的指定类型报文数的告警阈值以接口下的配置为准。

使用实例

# 配置全局DHCP Snooping丢弃报文的告警阈值为200。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] dhcp snooping alarm threshold 200

# 10GE1/0/1接口使能DHCP Snooping,使能mac-address检查,并配置mac-address检查的丢弃报文告警功能,告警阈值为1000。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dhcp snooping enable
[*HUAWEI-10GE1/0/1] dhcp snooping check mac-address enable
[*HUAWEI-10GE1/0/1] dhcp snooping alarm mac-address enable
[*HUAWEI-10GE1/0/1] dhcp snooping alarm mac-address threshold 1000

dhcp snooping rate-limit

命令功能

dhcp snooping rate-limit命令用来配置DHCP报文上送DHCP报文处理单元的最大允许速率。

undo dhcp snooping rate-limit命令用来恢复DHCP报文上送DHCP报文处理单元的最大允许速率为缺省值。

缺省情况下,全局DHCP报文上送DHCP报文处理单元的最大允许速率为100pps,VLAN、接口下DHCP报文上送DHCP报文处理单元的最大允许速率为在系统视图下配置的值。

命令格式

系统视图:

dhcp snooping rate-limit rate [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

undo dhcp snooping rate-limit

VLAN视图、接口视图:

dhcp snooping rate-limit rate

undo dhcp snooping rate-limit

参数说明

参数 参数说明 取值
rate 指定DHCP报文上送DHCP报文处理单元的最大允许速率。 取值范围是1~1000,单位pps。
vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>
配置属于指定VLAN的DHCP报文上送到DHCP报文处理单元的最大允许速率。
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。

若不选取该参数,则对所有的DHCP报文命令功能生效。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

系统视图、VLAN视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

设备在使能DHCP Snooping后,接收到的DHCP Request报文和DHCP Reply报文将会上送到DHCP报文处理单元处理,此时如果报文上送速率过快,将会影响DHCP报文处理单元的处理效率。在使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能之后,可使用本命令用来配置DHCP报文上送DHCP报文处理单元的最大允许速率,此后,超过该速率的报文将会被丢弃。

前置条件

配置允许上送DHCP报文处理单元的DHCP报文速率最大值之前,需确保已使用命令dhcp snooping rate-limit enable使能了上送DHCP报文处理单元的DHCP报文速率检测功能,否则配置不生效。

使用实例

# 全局视图下配置允许上送DHCP报文处理单元的DHCP报文速率最大值为50pps。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] dhcp snooping rate-limit enable
[*HUAWEI] dhcp snooping rate-limit 50

dhcp snooping rate-limit enable

命令功能

dhcp snooping rate-limit enable命令用来使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

undo dhcp snooping rate-limit enable命令用来去使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

缺省情况下,未使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

命令格式

系统视图:

dhcp snooping rate-limit enable [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

undo dhcp snooping rate-limit enable [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

VLAN视图、接口视图:

dhcp snooping rate-limit enable

undo dhcp snooping rate-limit enable

参数说明

参数 参数说明 取值
vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>
使能对属于指定VLAN的DHCP报文上送到DHCP报文处理单元的速率进行检测功能。
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。

若不选取该参数,则对所有的DHCP报文命令功能生效。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

系统视图、VLAN视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

设备在使能DHCP Snooping后,接收到的DHCP Request报文和DHCP Reply报文将会上送到DHCP报文处理单元处理,此时如果报文上送速率过快,将会影响DHCP报文处理单元的处理效率。使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能之后,设备将会检测DHCP报文的上送速率,并仅允许在规定速率内的报文上送至DHCP报文处理单元,而超过规定速率的报文将会被丢弃。
说明:

DHCP报文的上送速率可以通过命令dhcp snooping rate-limit进行配置。

使用实例

# 系统视图下使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] dhcp snooping rate-limit enable

# 在VLAN10视图下使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] vlan 10
[*HUAWEI-vlan10] dhcp snooping enable
[*HUAWEI-vlan10] dhcp snooping rate-limit enable

dhcp snooping check mac-address enable

命令功能

dhcp snooping check mac-address enable命令用来使能检测DHCP Request报文帧头源MAC地址与CHADDR字段是否相同的功能。

undo dhcp snooping check mac-address enable命令用来去使能检测DHCP Request报文帧头源MAC地址与CHADDR字段是否相同的功能。

缺省情况下,未使能检测DHCP Request报文帧头源MAC地址与CHADDR字段是否相同的功能。

命令格式

系统视图:

dhcp snooping check mac-address enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

undo dhcp snooping check mac-address enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

VLAN视图、接口视图、端口组视图

dhcp snooping check mac-address enable

undo dhcp snooping check mac-address enable

参数说明

参数 参数说明 取值
vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>
使能对从指定VLAN内上送的DHCP报文进行帧头MAC地址与CHADDR字段是否相同的检测功能。
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。
整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

系统视图、VLAN视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

正常情况下DHCP Request报文中CHADDR字段与发送该报文的客户端MAC地址是相同的,同时DHCP Server通常仅根据CHADDR字段来确认客户端的MAC地址。如果攻击者通过不断改变DHCP Request报文中的CHADDR字段向DHCP Server申请IP地址,将会导致DHCP Server上的地址池被耗尽,从而无法为其他正常用户提供IP地址。
说明:

在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效;在接口下执行该命令,则仅对该接口接收到的所有DHCP报文命令功能生效。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 在10GE1/0/1接口下使能mac-address检查功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dhcp snooping enable
[*HUAWEI-10GE1/0/1] dhcp snooping check mac-address enable

dhcp snooping check binding enable

命令功能

dhcp snooping check binding enable命令用来使能对DHCP报文进行绑定表匹配检查的功能。

undo dhcp snooping check binding enable命令用来去使能对DHCP报文进行绑定表匹配检查的功能。

缺省情况下,未使能对DHCP报文进行绑定表匹配检查的功能。

命令格式

系统视图:

dhcp snooping check binding enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

undo dhcp snooping check binding enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

VLAN视图、接口视图:

dhcp snooping check binding enable

undo dhcp snooping check binding enable

参数说明

参数 参数说明 取值
vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> 使能对从指定VLAN内上送的DHCP报文进行绑定表匹配检查功能。 整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

系统视图、VLAN视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在生成绑定表后,设备可根据绑定表项,对DHCP Request报文或DHCP Release报文进行匹配检查,只有匹配成功的报文设备才将其转发,否则将丢弃。这将能有效的防止非法用户通过发送伪造DHCP Request或DHCP Release报文冒充合法用户续租或释放IP地址。

设备根据绑定表项对DHCP Request报文或DHCP Release报文的匹配检查规则如下。

  • 对DHCP Request报文:
    1. 首先检查报文的目的MAC是否为全F,如果是则认为是第一次上线的DHCP Request广播报文,直接通过;如果报文的目的MAC不是全F,则认为是续租报文,将根据绑定表进行匹配检查。
    2. 检查报文中的CHADDR是否命中绑定表,如果没有命中,则认为是用户第一次上线,直接通过;如果CHADDR命中绑定表,则继续检查报文中的VLAN、IP、接口信息是否均和绑定表匹配,完全匹配通过,否则丢弃。
  • 对DHCP Release报文,将直接检查报文中的VLAN、IP、MAC、接口信息是否匹配动态绑定表,匹配则通过,不匹配则丢弃。
说明:

在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效;在接口下执行该命令,则仅对该接口接收到的所有DHCP报文命令功能生效。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 在VLAN10内使能DHCP报文绑定表匹配检查功能。
<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] vlan 10
[*HUAWEI-vlan10] dhcp snooping enable
[*HUAWEI-vlan10] dhcp snooping check binding enable

dhcp snooping disable

命令功能

dhcp snooping disable命令用来去使能接口的DHCP Snooping功能。

undo dhcp snooping disable命令用来取消去使能接口的DHCP Snooping功能。

缺省情况下,接口的DHCP Snooping功能是否使能依赖于是否在该接口或者该接口所在的VLAN下使用dhcp snooping enable命令使能DHCP Snooping功能。

命令格式

dhcp snooping disable

undo dhcp snooping disable

参数说明

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

若使用命令dhcp snooping enable使能了某一VLAN的DHCP Snooping功能,则VLAN内所有的接口均使能了DHCP Snooping功能。此时如果需要去使能一特定接口的DHCP Snooping功能,但是由于并不是在该接口下执行命令dhcp snooping enable,所以也不能通过命令undo dhcp snooping enable来去使能接口的DHCP Snooping功能。针对这种情况,可使用命令dhcp snooping disable去使能特定接口的DHCP Snooping功能。此后该接口下的用户将能够正常上线,但是却并不会生成DHCP动态绑定表。

说明:

执行命令dhcp snooping disable之后,在去使能接口的DHCP Snooping功能时将同时清除DHCP Snooping功能的相关配置以及DHCP Snooping动态绑定表;而执行命令undo dhcp snooping enable则仅去使能DHCP Snooping功能,DHCP Snooping功能的相关配置以及DHCP Snooping动态绑定表仍将保留。

执行命令undo dhcp snooping disable之后,则接口的DHCP Snooping功能仅恢复为设备的缺省情况即未使能状态,若要使能接口的DHCP Snooping功能,则需执行命令dhcp snooping enable

使用实例

# 接口10GE1/0/1已加入VLAN10,去使能VLAN10中接口10GE1/0/1的DHCP Snooping功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] vlan 10
[*HUAWEI-vlan10] dhcp snooping enable
[*HUAWEI-vlan10] quit
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dhcp snooping disable
Warning: All DHCP snooping functions on the port will be deleted. Continue? [Y/N]:y

dhcp snooping enable

命令功能

dhcp snooping enable命令用来使能DHCP Snooping功能。

undo dhcp snooping enable命令用来去使能DHCP Snooping功能。

缺省情况下,设备未使能DHCP Snooping功能。

命令格式

系统视图:

dhcp snooping enable [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

undo dhcp snooping enable [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

VLAN视图、接口视图:

dhcp snooping enable

undo dhcp snooping enable

参数说明

参数 参数说明 取值
vlan { vlan-id1 [ to vlan-id2 ] }
使能指定VLAN的DHCP Snooping功能。
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。
整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

系统视图、VLAN视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

DHCP Snooping是一种DHCP安全特性,使能设备的DHCP Snooping功能,可有效提高DHCP的安全性。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能,再使能接口或VLAN下的DHCP Snooping功能。

前置条件

使能DHCP Snooping功能之前,必须已使用命令dhcp enable使能了全局DHCP功能。

后续任务

在连接用户的接口或VLAN下使能DHCP Snooping功能之后,需要使用命令dhcp snooping trusted将连接DHCP服务器的接口配置为“信任”模式,两者配合使用才能生成绑定表。

注意事项

在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效;在接口下执行该命令,则仅对该接口接收到的所有DHCP报文命令功能生效。

使用实例

# 使能全局DHCP Snooping功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable

# 使能接口10GE1/0/1下的DHCP Snooping功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dhcp snooping enable

# 使能VLAN100下的DHCP Snooping功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] vlan 100
[*HUAWEI-vlan100] dhcp snooping enable

dhcp snooping user-bind max-number

命令功能

dhcp snooping user-bind max-number命令用来配置接口允许学习的DHCP Snooping绑定表项的最大个数。

undo dhcp snooping user-bind max-number命令用来恢复接口允许学习的DHCP Snooping绑定表项的最大个数为缺省值。

缺省情况下,接口允许学习的DHCP Snooping绑定表项的最大个数为32768。

命令格式

系统视图:

dhcp snooping user-bind max-number max-number [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

undo dhcp snooping user-bind max-number [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

VLAN视图、接口视图:

dhcp snooping user-bind max-number max-number

undo dhcp snooping user-bind max-number

参数说明

参数

参数说明

取值

max-number

指定接口允许学习的DHCP Snooping绑定表项的最大个数。

整数形式,取值范围是1~32768。

vlan { vlan-id1 [ to vlan-id2 ] }

指定VLAN内允许学习的DHCP Snooping绑定表项的最大个数。
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。
整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

系统视图、VLAN视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

通过此命令可配置接口允许学习的DHCP Snooping绑定表项的最大个数,当接口下DHCP Snooping绑定表项数达到本命令配置的最大值时,后续用户将无法接入。

在系统下配置,则设备的所有接口下允许学习的DHCP Snooping绑定表项的最大个数之和为所配置值。在VLAN视图下配置,则加入该VLAN的所有接口下允许学习的DHCP Snooping绑定表项的最大个数为所配置值。如果在系统视图、VLAN视图、接口视图下同时配置,则接口下允许学习的DHCP Snooping绑定表项的最大个数以者的最小值为准。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 配置10GE1/0/1接口下最多接入100个DHCP用户。
<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] dhcp snooping enable
[*HUAWEI-10GE1/0/1] dhcp snooping user-bind max-number 100

# 配置VLAN100下最多接入100个DHCP用户。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] vlan 100
[*HUAWEI-vlan100] dhcp snooping enable
[*HUAWEI-vlan100] dhcp snooping user-bind max-number 100

dhcp snooping sticky-mac

命令功能

dhcp snooping sticky-mac命令用来使能根据DHCP Snooping动态绑定表生成静态MAC表项功能。

undo dhcp snooping sticky-mac命令用来去使能根据DHCP Snooping动态绑定表生成静态MAC表项功能。

缺省情况下,设备未使能根据DHCP Snooping动态绑定表生成静态MAC表项功能。

命令格式

dhcp snooping sticky-mac

undo dhcp snooping sticky-mac

参数说明

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

动态MAC表项是设备自动学习并生成的,静态MAC表项则是根据命令配置而成的。MAC表项中包含用户的MAC、所属VLAN、连接的端口号等信息,设备可根据MAC表项对报文进行二层转发。

在接口下执行命令dhcp snooping sticky-mac后,设备将根据该接口下所有DHCP用户对应的DHCP Snooping动态绑定表项自动执行命令生成这些用户的静态MAC表项(snooping类型),并同时清除该接口的所有动态MAC表项、关闭该接口学习动态MAC表项的能力以及开启该接口根据MAC表项匹配报文源MAC的能力。之后,只有源MAC与静态MAC表项匹配的报文才能够通过该接口,否则报文会被丢弃。CE6870EI对于三层报文不进行源MAC与静态MAC表项的匹配,也不会丢弃该报文。因此对于该接口下的非DHCP用户,只有管理员手动配置了此类用户的静态MAC表项(static类型)其报文才能通过,否则报文将被丢弃。这样能够有效的防止非DHCP用户对网络的攻击。
说明:
  • CE6870EI不支持三层报文。

  • 查看设备上生成的MAC表项信息请参见命令display mac-address

  • 若某一DHCP Snooping绑定表项更新,则该绑定表项对应的静态MAC表项也将同步更新。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

在接口执行dhcp snooping sticky-mac时,将不能配置以下命令,反之亦然。

命令

说明

mac-address learning disable(接口视图)

配置MAC地址学习功能。

mac-address limit

配置MAC地址学习最大数量。

port-security enable

配置接口安全功能。

ip source check user-bind enable

配置接口IP报文检查功能。

dhcp snooping trusted

配置接口为信任接口。

使用实例

# 在接口10GE1/0/1下使能根据DHCP Snooping绑定表生成静态MAC表项功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dhcp snooping sticky-mac

dhcp snooping trusted

命令功能

dhcp snooping trusted命令用来配置接口为信任状态。

undo dhcp snooping trusted命令用来恢复接口的状态为非信任状态。

缺省情况下,设备接口为非信任状态。

命令格式

VLAN视图下:

dhcp snooping trusted interface interface-type interface-number

undo dhcp snooping trusted interface interface-type interface-number

接口视图下:

dhcp snooping trusted

undo dhcp snooping trusted

参数说明

参数 参数说明 取值
interface interface-type interface-number 指定VLAN内接口的接口类型和接口编号。
  • interface-type表示接口类型。
  • interface-number表示接口编号。
-

视图

VLAN视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将接口设置为信任接口和非信任接口,信任接口正常转发接收到的DHCP报文,非信任接口接收到DHCP服务器响应的DHCP ACK和DHCP OFFER报文后,将丢弃该报文。

直接或间接连接管理员信任的DHCP服务器的接口需要设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。

说明:

在VLAN视图下执行此命令,则仅对加入该VLAN的接口收到的属于此VLAN的DHCP报文命令功能生效;在接口下执行该命令,则仅对该接口接收到的所有DHCP报文命令功能生效。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 配置VLAN100中的10GE1/0/1接口状态为信任。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] vlan 100
[*HUAWEI-vlan100] dhcp snooping enable
[*HUAWEI-vlan100] dhcp snooping trusted interface 10ge 1/0/1

# 设置10GE1/0/1接口状态为信任。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dhcp snooping enable
[*HUAWEI-10GE1/0/1] dhcp snooping trusted

dhcp snooping user-bind autosave

命令功能

dhcp snooping user-bind autosave命令用来使能DHCP Snooping绑定表的自动备份功能。

undo dhcp snooping user-bind autosave命令用来去使能DHCP Snooping绑定表的自动备份功能。

缺省情况下,未使能DHCP Snooping绑定表的自动备份功能。

命令格式

dhcp snooping user-bind autosave file-name

undo dhcp snooping user-bind autosave

参数说明

参数 参数说明 取值
file-name 指定DHCP Snooping绑定表自动备份的文件路径及文件名,必须同时输入当前设备支持的文件路径和文件名。 字符串形式,不支持空格,区分大小写,长度范围是1~51。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备在生成了DHCP用户的DHCP Snooping绑定表项时,若要重启设备且不希望绑定表项丢失,可使用命令dhcp snooping user-bind autosave使能DHCP Snooping绑定表的自动备份功能。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

备份的绑定表文件的后缀名必须是.tbl。

修改系统时间后,若设备在1天内即将重新启动,此时由于设备仍未到达自动更新绑定表项备份的时间,则需要再次使用该命令以立刻备份最新的绑定表项。否则在设备重启后,绑定表恢复后的租期与当前系统时间可能不一致。

使用实例

# 配置在flash下自动备份绑定表,文件名是backup.tbl。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] dhcp snooping user-bind autosave flash:/backup.tbl

dhcp snooping users car

命令功能

dhcp snooping users car命令用来配置对DHCP用户流量进行限速。

undo dhcp snooping users car命令用来取消对DHCP用户流量进行的限速。

缺省情况下,未对DHCP用户流量进行限速。

说明:
CE6880EI不支持此命令。

命令格式

dhcp snooping users car cir cir-value [ cbs cbs-value ]

undo dhcp snooping users car

参数说明

参数 参数说明 取值
cir cir-value 指定承诺信息速率(Committed Information Rate),即保证能够通过的平均速率。 整数形式,取值范围是1~100000000,单位是kbit/s。
cbs cbs-value 指定承诺突发尺寸(Committed Burst Size),即瞬间能够通过的承诺突发流量。 整数形式,取值范围是1~536870912,单位是byte。

视图

系统视图、VLAN视图

缺省级别

2:配置级

使用指南

应用场景

在DHCP网络中,用户上线后,默认其流量不会被限制。在这种情况下,如果某一用户的流量过大,将会导致有限的网络资源被其抢占,从而对其他DHCP用户造成影响。

为避免这种问题,可以基于DHCP Snooping绑定表对用户流量进行限速,将超出的流量丢弃,使输入或输出的流量被限制在一个合理的范围之内。当DHCP用户上线后,设备通过DHCP Snooping绑定表识别其为合法用户,为其动态应用配置好的流量限速策略,保证有限的网络资源能够被有效地利用。

注意事项

在系统视图下的配置对全局DHCP用户生效,在VLAN视图下的配置仅对该VLAN下的DHCP用户生效。对同一DHCP用户,若两者同时配置,则以VLAN视图下的配置为准。

用户流量速率超过1Mbit/s后,对大于等于256字节的报文,流量限速的误差在3%以内。(CE6870EI)

用户流量速率超过1Mbit/s后,对小于256字节的报文,非堆叠情况下流量限速的误差在3%以内,堆叠情况下流量限速的误差在6%以内。(CE6870EI)

使用实例

# 在系统视图下对DHCP用户流量进行限速。

<HUAWEI> system view
[~HUAWEI] dhcp snooping users car cir 64 cbs 128

# 在VLAN视图下对DHCP用户流量进行限速。

<HUAWEI> system view
[~HUAWEI] vlan 100
[*HUAWEI-vlan100] dhcp snooping users car cir 64 cbs 128

dhcp snooping user-offline remove mac-address

命令功能

dhcp snooping user-offline remove mac-address命令用来使能当DHCP snooping表项清除时移除对应用户的MAC表项功能。

undo dhcp snooping user-offline remove mac-address命令用来去使能当DHCP snooping表项清除时移除对应用户的MAC表项功能。

缺省情况下,未使能当DHCP snooping表项清除时移除对应用户的MAC表项功能。

命令格式

dhcp snooping user-offline remove mac-address

undo dhcp snooping user-offline remove mac-address

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在某一用户下线后,若设备上该用户对应的动态MAC表项没有达到老化时间,则设备在接收到来自网络侧以该用户IP地址为目的地址的报文时,将继续根据动态MAC表项处理此报文。在执行命令dhcp snooping user-offline remove mac-address之后,当DHCP Snooping表项清除时将移除对应的用户MAC表项,同时配合在网络侧接口配置的未知单播报文丢弃功能,设备将丢弃目的IP地址为已经下线用户的报文。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 使能当DHCP Snooping表项清除时移除对应用户的MAC表项功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] dhcp snooping user-offline remove mac-address

dhcp snooping fixed-port enable

命令功能

dhcp snooping fixed-port enable命令用来使能DHCP Snooping用户位置固定功能。

undo dhcp snooping fixed-port enable命令用来去使能DHCP Snooping用户位置固定功能。

缺省情况下,未使能DHCP Snooping用户位置固定功能。

命令格式

dhcp snooping fixed-port enable

undo dhcp snooping fixed-port enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在移动应用场景中,若某一用户由接口A上线后,然后切换到接口B,这时为了让用户能够上线,需要取消DHCP Snooping用户位置固定功能。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 去使能DHCP Snooping用户位置固定功能。

<HUAWEI> system-view
[~HUAWEI] dhcp enable
[*HUAWEI] dhcp snooping enable
[*HUAWEI] undo dhcp snooping fixed-port enable

display dhcp option82 configuration

命令功能

display dhcp option82 configuration命令用来查看DHCP Option82的配置信息。

命令格式

display dhcp option82 configuration [ vlan vlan-id | interface interface-type interface-number ]

参数说明

参数

参数说明

取值

vlan vlan-id

查看在指定VLAN下配置的DHCP Option82信息。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

interface interface-type interface-number

查看在指定接口下配置的DHCP Option82信息。

  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

Option82选项记录了DHCP client的位置信息。设备通过在DHCP请求报文中添加Option82选项,可将DHCP client的位置信息发送给DHCP Server,从而使得DHCP Server能够根据Option82选项的内容为DHCP client分配合适的IP地址和其他配置信息,并实现对客户端的安全控制。

在构造完DHCP报文中插入的Option82选项后,可使用命令display dhcp option82 configuration查看DHCP Option82选项的配置信息。

使用实例

# 查看DHCP Option82的所有配置信息。

<HUAWEI> display dhcp option82 configuration
#                                                                               
Vlan 10                                                                         
 dhcp option82 rebuild enable                                                   
#                                                                               
interface 10GE1/0/1                                                  
 dhcp option82 rebuild enable                                                   
 dhcp option82 circuit-id format common                                         
#                                             

# 查看指定接口10GE1/0/1下的DHCP Option82配置信息。

<HUAWEI> display dhcp option82 configuration interface 10ge 1/0/1
#                                                                               
interface 10GE1/0/1                                                  
 dhcp option82 rebuild enable                                                   
 dhcp option82 circuit-id format common                                         
#                                             

display dhcp snooping

命令功能

display dhcp snooping命令用来查看DHCP Snooping的运行信息。

命令格式

display dhcp snooping [ interface interface-type interface-number | vlan vlan-id ]

参数说明

参数 参数说明 取值
interface interface-type interface-number 查看指定接口下的DHCP Snooping的运行信息。
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-
vlan vlan-id 查看指定VLAN下的DHCP Snooping的运行信息。 整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

所有视图

缺省级别

1:监控级

使用指南

使用命令display dhcp snooping可查看DHCP Snooping的运行信息,其中若不指定具体接口或VLAN,则显示设备全局的DHCP Snooping的运行信息,若指定具体的接口或VLAN,则仅显示该接口或VLAN下运行的DHCP Snooping的信息。

使用实例

# 查看全局DHCP Snooping的运行信息。

<HUAWEI> display dhcp snooping
 DHCP snooping global running information :                                     
 DHCP snooping                            : Enable                              
 Static user max number                   : 1024                                
 Current static user number               : 0                                   
 DHCP user max number                     : 32768    (default)                  
 Current DHCP user number                 : 0                                   
 DHCP snooping user-bind ARP-detect       : Disable  (default)                  
 Alarm threshold                          : 100      (default)                  
 Rate-limit                               : Disable  (default)                  
 Rate-limit value(pps)                    : 100      (default)                  
 Alarm rate-limit                         : Disable  (default)                  
 Alarm rate-limit threshold               : 100      (default)                  
 Discarded packets for rate-limit         : 0                                   
 Bind-table autosave                      : Disable  (default)                  
 Offline remove MAC-address               : Disable  (default)                  
 Client position fixed allowed            : Disable  (default)                  
                                                                                
 DHCP snooping running information for interface 10GE1/0/1 : 
 DHCP snooping                            : Enable                              
 Trusted interface                        : No                                  
 DHCP user max number                     : 32768    (default)                  
 Current DHCP user number                 : 0                                   
 Check MAC-address                        : Disable  (default)                  
 Alarm MAC-address                        : Disable  (default)                  
 Check binding                            : Disable  (default)                  
 Alarm binding                            : Disable  (default)                  
 Rate-limit                               : Disable  (default)                  
 Alarm rate-limit                         : Disable  (default)                  
 Alarm rate-limit threshold               : 0                                   
 Discarded packets for rate-limit         : 0                                   
 Alarm untrust-reply                      : Disable  (default)      

# 查看VLAN10下DHCP Snooping的运行信息。

<HUAWEI> display dhcp snooping vlan 10
 DHCP snooping                            : Enable                              
 DHCP user max number                     : 32768    (default)                  
 Current DHCP user number                 : 0                                   
 Check MAC-address                        : Disable  (default)                  
 Check binding                            : Disable  (default)                  
 Rate-limit                               : Disable  (default)                  
表16-87  display dhcp snooping命令输出信息描述

项目

描述

DHCP snooping

是否使能DHCP Snooping功能。

配置该功能,请参见dhcp snooping enable

Static user max number

最大静态用户数。

Current static user number

当前静态用户数。

DHCP user max number

最大DHCP用户数。

配置该功能,请参见dhcp snooping user-bind max-number

Current DHCP user number

当前DHCP用户数。

DHCP snooping user-bind ARP-detect

是否使能ARP与DHCP Snooping的联动功能。

配置该功能,请参见dhcp snooping user-bind arp-detect enable

Alarm threshold

全局DHCP Snooping丢弃报文数量的告警阈值。

配置该功能,请参见dhcp snooping alarm threshold

Rate-limit

是否使能DHCP报文速率检查功能。

配置该功能,请参见dhcp snooping rate-limit enable

Rate-limit value(pps)

限制DHCP报文速率数,单位是报文数/秒。

配置该功能,请参见dhcp snooping rate-limit

Alarm rate-limit

是否使能DHCP报文上送到DHCP协议栈的速率检查告警功能。

配置该功能,请参见dhcp snooping alarm rate-limit enable

Alarm rate-limit threshold

DHCP报文上送到DHCP协议栈的速率的告警阈值,丢弃的DHCP报文数超过此阈值发送告警。

配置该功能,请参见dhcp snooping alarm rate-limit threshold

Discarded packets for rate-limit

丢弃超出DHCP报文速率的报文数。

Bind-table autosave

是否使能自动保存绑定表。

配置该功能,请参见dhcp snooping user-bind autosave

Offline remove MAC-address

是否使能客户端离线移除MAC地址功能。

配置该功能,请参见dhcp snooping user-offline remove mac-address

Client position fixed allowed

是否允许用户迁移。

配置该功能,请参见dhcp snooping fixed-port enable

Trusted interface

是否为信任接口。

配置该功能,请参见dhcp snooping trusted

Check MAC-address

是否使能检查DHCP Request报文里的CHADDR字段和以太帧头的源MAC是否一致。

配置该功能,请参见dhcp snooping check mac-address enable

Alarm MAC-address

是否使能指定丢弃的DHCP Request报文数目(该报文的CHADDR字段和以太帧头的源MAC不一致)达到告警阈值后产生告警。

配置该功能,请参见dhcp snooping alarm threshold

Check binding

是否使能接口对DHCP Request报文的检查功能。

配置该功能,请参见dhcp snooping check binding enable

Alarm binding

是否使能单位时间内被丢弃的DHCP Request报文达到告警门限时产生告警信息。

配置该功能,请参见dhcp snooping alarm threshold

Alarm untrust-reply

是否使能接口丢弃非信任的DHCP Reply报文时产生告警信息。

配置该功能,请参见dhcp snooping alarm threshold

display user-bind dhcp snooping

命令功能

display user-bind dhcp snooping命令用来查看绑定表信息。

命令格式

display user-bind dhcp snooping { { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]

参数说明

参数

参数说明

取值

interface interface-type interface-number

查看包含指定接口的绑定表项。

其中
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

ip-address ip-address

查看包含指定IP地址的绑定表项。

点分十进制形式。

mac-address mac-address

查看包含指定MAC地址的绑定表项。

格式为H-H-H,其中H为4位的十六进制数。

vlan vlan-id

查看包含指定VLAN的绑定表项。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

all

查看所有用户的绑定表信息。

-

verbose

查看绑定表的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

使能DHCP Snooping功能后,设备能够生成DHCP Snooping绑定表,绑定表项包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的接口及该接口所属的VLAN等信息。使用命令display user-bind dhcp snooping可查看设备上DHCP用户对应生成的绑定表项。

使用实例

# 查看DHCP Snooping的绑定表信息。

<HUAWEI> display user-bind dhcp snooping all
Flags: O - outer vlan, I - inner vlan, P - map vlan
IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease           
--------------------------------------------------------------------------------
10.0.0.8         0000-0000-1002  83  /--  /--    10GE1/0/1      2013.04.26-10:39
--------------------------------------------------------------------------------
Print count:           1          Total count:           1         

# 查看DHCP Snooping的绑定表详细信息。

<HUAWEI> display user-bind dhcp snooping all verbose
--------------------------------------------------------------------------------
 IP Address  : 10.0.0.8
 MAC Address : 0000-0000-1002
 VSI         : --
 VLAN(O/I/P) : 83  /--  /--  
 Interface   : 10GE4/0/0
 Lease       : 2013.04.26-10:39
 Gateway     : --
 Server-ip   : 192.168.1.1
--------------------------------------------------------------------------------
Print count:           1          Total count:           1         
表16-88  display user-bind dhcp snooping命令输出信息描述

项目

描述

Flags

VLAN标记。包括:
  • O:外层VLAN
  • I:内层VLAN
  • P:MAP VLAN

IP Address

用户的IP地址。

MAC Address

用户MAC地址。

VSI

用户上线的VPN实例名。

VLAN(O/I/P)

用户所在的VLAN编号。

Interface

用户接入接口。

Lease

用户IP地址租期到期时间。

Print count

打印的绑定表项数目。

Total count

绑定表的表项总数。

Gateway

网关地址。

Server-ip

DHCP服务器IP地址。

display dhcp snooping users car status

命令功能

display dhcp snooping users car status命令用来查看对DHCP用户流量限速功能的状态信息。

命令格式

display dhcp snooping users car status [ ip-address ip-address | mac-address mac-address | vlan vlan-id | interface interface-type interface-number ] *

说明:
CE6880EI不支持此命令。

参数说明

参数 参数说明 取值
ip-address ip-address 显示对指定IP地址的DHCP用户流量限速状态信息。 点分十进制形式。
mac-address mac-address 显示对指定MAC地址的DHCP用户流量限速状态信息。 格式为H-H-H,其中H为1至4位的十六进制数。
vlan vlan-id 显示对指定VLAN的DHCP用户流量限速状态信息。 整数形式,取值范围是1~4094。
interface interface-type interface-number 显示对指定接口的DHCP用户流量限速状态信息。其中:
  • interface-type表示接口类型
  • interface-number表示接口编号
-

视图

所有视图

缺省级别

1:监控级

使用指南

配置基于DHCP Snooping绑定表对用户流量进行限速后,可以执行display dhcp snooping users car status命令来查看对DHCP用户流限速功能的状态信息。

使用实例

# 查看对IP地址为10.10.1.1的DHCP用户流量限速的状态信息。

<HUAWEI> display dhcp snooping users car status ip-address 10.10.1.1
DHCP Bind-table:                                                                
Flags: O - outer vlan, I - inner vlan, P - map vlan                             
--------------------------------------------------------------------------------
IP Address       MAC Address     VSI/VLAN(O/I/P) Interface         Status  Slot 
--------------------------------------------------------------------------------
10.10.1.1        0001-0101-0101  1   /--  /--    10GE1/0/23        Success 1    
--------------------------------------------------------------------------------
表16-89  display dhcp snooping users car status命令输出信息描述

项目

描述

IP Address

用户的IP地址。

MAC Address

用户的MAC地址。

VSI/VLAN(O/I/P)

用户所属的VSI或VLAN编号。

Interface

用户的接入接口。

Status

用户流量限速功能的配置状态:

  • Success:DHCP用户流量限速功能配置成功。
  • Fail:DHCP用户流量限速功能配置失败。

Slot

槽位号。

display mac-address snooping

命令功能

display mac-address snooping命令用来查看根据DHCP Snooping绑定表生成的静态MAC表项

命令格式

display mac-address snooping [ interface interface-type interface-number | vlan vlan-id ] *

参数说明

参数 参数说明 取值
interface interface-type interface-number
显示指定接口的静态MAC表项。
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

vlan vlan-id

显示在指定VLAN内的所有接口的静态MAC表项。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

所有视图

缺省级别

1:监控级

使用指南

当在接口视图下执行dhcp snooping sticky-mac命令后,设备将根据DHCP Snooping绑定表生成静态MAC表项,表项中包含用户MAC、所属VLAN等信息。使用命令display mac-address snooping可查看根据DHCP Snooping绑定表生成的静态MAC表项,其中若不指定具体接口或VLAN参数,将显示设备所有根据DHCP Snooping绑定表生成的静态MAC表项。

使用实例

# 查看设备根据DHCP Snooping绑定表生成的静态MAC表项。

<HUAWEI> display mac-address snooping
Flags: * - Backup  
       # - forwarding logical interface, operations cannot be performed based 
           on the interface.
BD   : bridge-domain   Age : dynamic MAC learned time in seconds
-------------------------------------------------------------------------------
MAC Address    VLAN/VSI/BD   Learned-From        Type                Age
-------------------------------------------------------------------------------
0000-0000-0033 100/-/-       10GE1/0/1           snooping              -
-------------------------------------------------------------------------------
Total items: 1
表16-90  display mac-address snooping命令输出信息描述

项目

描述

MAC Address

用户MAC地址。

VLAN/VSI/BD

  • VLAN:标识接口关联的VLAN。
  • VSI:标识接口关联的VSI(Virtual Switching Instance)。
  • BD:标识接口关联的VXLAN广播域桥域BD。
说明:

只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

Learned-From

用户所连接的接口号。

Type

MAC表项类型。

Age

动态MAC地址学习时间,单位是秒。

display snmp-agent trap feature-name dhcpsnp all

命令功能

display snmp-agent trap feature-name dhcpsnp all命令用来查看DHCP Snooping模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name dhcpsnp all

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当用户需要查看DHCP Snooping模块的所有告警开关的信息时,可以通过该命令实现。

使用实例

# 查看DHCP Snooping模块的所有告警信息。

<HUAWEI> display snmp-agent trap feature-name dhcpsnp all
------------------------------------------------------------------------------  
Feature name: DHCPSNP                                                           
Trap number : 4                                                                 
------------------------------------------------------------------------------  
Trap name                      Default switch status   Current switch status    
hwDhcpPktRateAlarm             off                     on                       
hwDhcpSnpChaddrAlarm           off                     on                       
hwNomatchSnpBindTblDhcpPktAlarm                                                 
                               off                     on                       
hwUntrustedReplyPktAlarm       off                     on                       
表16-91  display snmp-agent trap feature-name dhcpsnp all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,DHCP Snooping模块的告警包括:

  • hwDhcpPktRateAlarm:打开报文速率超限告警开关。
  • hwDhcpSnpChaddrAlarm:打开客户端MAC地址不匹配超限告警开关。
  • hwNomatchSnpBindTblDhcpPktAlarm:打开绑定表不匹配超限告警开关。
  • hwUntrustedReplyPktAlarm:打开非信任接口收到Reply报文超限告警开关。

Default switch status

缺省告警开关状态:
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

Current switch status

当前告警开关状态
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

reset dhcp snooping statistics

命令功能

reset dhcp snooping statistics命令用来清除DHCP Snooping丢弃报文的统计信息。

命令格式

reset dhcp snooping statistics { global | interface interface-type interface-number [ vlan vlan-id ] | vlan vlan-id [ interface interface-type interface-number ] }

参数说明

参数 参数说明 取值
global 清除全局DHCP Snooping丢弃报文统计信息。

-

interface interface-type interface-number 清除指定接口的DHCP Snooping丢弃报文统计信息。
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

vlan vlan-id 清除指定VLAN的DHCP Snooping丢弃报文统计信息。vlan-id表示VLAN编号。 vlan-id为整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

当使能DHCP Snooping功能后若产生了丢弃计数,可以执行本命令清除报文的统计信息。

注意事项

若同时选择interfacevlan参数,则interface必须已加入vlan。此时命令用来清除interface下属于vlan的DHCP Snooping丢弃报文统计信息。

使用实例

# 清除10GE1/0/1接口下DHCP Snooping丢弃报文的统计信息。

<HUAWEI> reset dhcp snooping statistics interface 10ge 1/0/1

reset user-bind dhcp snooping

命令功能

reset user-bind dhcp snooping命令用来清除DHCP Snooping绑定表。

命令格式

reset user-bind dhcp snooping [ { vlan vlan-id | interface interface-type interface-number } * | ip-address ip-address ]

参数说明

参数 参数说明 取值
vlan vlan-id

清除包含指定VLAN的DHCP Snooping绑定表信息。

整数形式,取值范围1~4094,保留VLAN ID(通过命令vlan reserved配置)除外
interface interface-type interface-number
清除包含指定接口的DHCP Snooping绑定表信息。其中
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

ip-address ip-address

清除包含指定IPv4地址的DHCP Snooping绑定表信息。

点分十进制形式。

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

配置了DHCP Snooping功能后,DHCP用户上线后将会生成对应的绑定表。使用本命令可选择不同的参数批量清除包含有该参数的绑定表项,若不指定具体参数则将删除所有的绑定表项。

注意事项

若同时配置参数interface interface-type interface-numbervlan vlan-id,则参数interface interface-type interface-number指定的接口必须已经加入参数vlan vlan-id指定的VLAN。此时命令用来清除指定接口下属于某VLAN的DHCP Snooping绑定表信息。

使用实例

# 清除VLAN100内的DHCP Snooping绑定表项。

<HUAWEI> reset user-bind dhcp snooping vlan 100

snmp-agent trap enable feature-name dhcpsnp

命令功能

snmp-agent trap enable feature-name dhcpsnp命令用来打开DHCP Snooping的告警开关。

undo snmp-agent trap enable feature-name dhcpsnp命令用来关闭DHCP Snooping的告警开关。

缺省情况下,DHCP Snooping的告警开关处于关闭状态。

命令格式

snmp-agent trap enable feature-name dhcpsnp [ trap-name { hwdhcppktratealarm | hwdhcpsnpchaddralarm | hwnomatchsnpbindtbldhcppktalarm | hwuntrustedreplypktalarm } ]

undo snmp-agent trap enable feature-name dhcpsnp [ trap-name { hwdhcppktratealarm | hwdhcpsnpchaddralarm | hwnomatchsnpbindtbldhcppktalarm | hwuntrustedreplypktalarm } ]

参数说明

参数 参数说明 取值
trap-name

打开dhcpsnp模块的指定类型事件的告警开关。

-
hwdhcppktratealarm

打开报文速率超限告警开关。

-
hwdhcpsnpchaddralarm

打开客户端MAC地址不匹配超限告警开关。

-
hwnomatchsnpbindtbldhcppktalarm

打开绑定表不匹配超限告警开关。

-
hwuntrustedreplypktalarm

打开非信任接口收到Reply报文超限告警开关。

-

视图

系统视图

缺省级别

3:管理级

使用指南

在用户需要查看DHCP Snooping相关告警的时候,可以打开此开关。

使用实例

# 打开DHCP Snooping的报文速率超限告警开关。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable feature-name dhcpsnp trap-name hwdhcppktratealarm
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:17740

下载量:414

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页