所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
DHCP Snooping配置命令

DHCP Snooping配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

arp dhcp-snooping-detect enable

命令功能

arp dhcp-snooping-detect enable命令用来使能ARP与DHCP Snooping的联动功能。

undo arp dhcp-snooping-detect enable命令用来去使能ARP与DHCP Snooping的联动功能。

缺省情况下,设备没有使能ARP与DHCP Snooping的联动功能。

命令格式

arp dhcp-snooping-detect enable

undo arp dhcp-snooping-detect enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

DHCP用户在发出DHCP Release报文来释放已申请的IP地址时,DHCP Snooping设备将会立刻删除该DHCP用户对应的绑定表。但若用户发生了异常下线而无法发出DHCP Release报文时,DHCP Snooping设备将不能及时删除该DHCP用户对应的绑定表。

使用本命令使能ARP与DHCP Snooping的联动功能后,如果查找不到DHCP Snooping表项中IP地址对应的ARP表项,则DHCP Snooping设备会对该IP地址进行ARP探测。如果连续4次探测不到用户(每次探测间隔为20秒,并且探测次数和间隔为固定值、不能修改),则DHCP Snooping设备会将该IP地址对应的DHCP Snooping表项删除。如果该DHCP Snooping设备支持DHCP中继功能,此后,该DHCP Snooping设备将替代DHCP客户端发送DHCP RELEASE报文,通知DHCP服务器释放该IP地址。

前置条件

使用ARP与DHCP Snooping的联动功能之前,需要保证设备上具有与客户端同网段的IP地址用于ARP探测。

使用实例

# 使能设备的ARP与DHCP Snooping联动功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] arp dhcp-snooping-detect enable

dhcp option82 append vendor-specific

命令功能

dhcp option82 append vendor-specific命令用来配置在DHCP报文的Option82选项中插入Sub9子选项。

undo dhcp option82 append vendor-specific命令用来删除在DHCP报文的Option82选项中插入的Sub9子选项。

缺省情况下,未配置在DHCP报文的Option82选项中插入Sub9子选项。

命令格式

dhcp option82 append vendor-specific

undo dhcp option82 append vendor-specific

参数说明

视图

接口视图、VLAN视图

缺省级别

2:配置级

使用指南

应用场景

设备作为DHCP中继或DHCP Snooping时,如果配置了命令dhcp option82 append vendor-specific,当接收到DHCP报文时,设备会在DHCP报文的Option82选项中插入Sub9子选项,当DHCP报文到达DHCP服务器时,DHCP服务器可以根据Sub9子选项的内容提取DHCP客户端的位置信息。

Option82选项的Sub9子选项分为新旧两种格式,旧格式携带hwid或其他公司的ID,新格式不携带。

命令dhcp option82 append vendor-specific和命令dhcp option82 vendor-specific format都可以用来配置在DHCP报文的Option82选项中插入Sub9子选项,区别在于插入的Sub9子选项的格式和内容不同:
  • 命令dhcp option82 append vendor-specific:Sub9子选项的格式为新格式,内容包含DHCP客户端的接入节点标识、接入节点机框号、接入节点槽位号、接入节点端口号、用户VLAN等位置信息。
  • 命令dhcp option82 vendor-specific format:Sub9子选项的格式为旧格式,内容包含DHCP客户端的用户IP地址、设备名称等。
注意事项
  • 命令dhcp option82 append vendor-specific和命令dhcp option82 vendor-specific format同时配置时,命令dhcp option82 append vendor-specific生效。
  • 只有设备上配置的Sub9子选项格式与接收到的DHCP报文中的格式一致时,Sub9子选项才能插入到Option82选项中。如果格式不一致:
    • 当配置命令dhcp option82 vendor-specific format时,新格式的Sub9子选项不能插入到Option82选项中。
    • 当配置命令dhcp option82 append vendor-specific时,旧格式的Sub9子选项信息能否插入到Option82选项中,还取决于Option82选项的添加方式(通过命令dhcp option82 enable配置):
      • Insert方式时,不会被插入到Option82选项。

      • Rebuild方式时,旧格式的Sub9子选项信息被重构,然后被插入到Option82选项。

  • Option82选项的总长度不能超过255个字节。

使用实例

# 在接口GE1/0/1上,配置在DHCP报文的Option82选项中插入Sub9子选项。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp option82 append vendor-specific

dhcp option82 enable

命令功能

dhcp option82 enable命令用来使能在DHCP报文中添加Option82选项功能。

undo dhcp option82 enable命令用来去使能在DHCP报文中添加Option82选项功能。

缺省情况下,未使能在DHCP报文中添加Option82选项功能。

命令格式

dhcp option82 { insert | rebuild } enable

undo dhcp option82 { insert | rebuild } enable

参数说明

参数 参数说明 取值
insert

指定使能在DHCP报文中插入Option82选项功能。

-
rebuild

指定使能在DHCP报文中强制插入Option82选项功能。

-

视图

VLAN视图、GE接口视图、GE子接口视图、XGE接口视图、XGE子接口视图、40GE接口视图、40GE子接口视图、100GE接口视图、100GE子接口视图、Eth-Trunk接口视图、Eth-Trunk子接口视图、端口组视图、BD视图

缺省级别

2:配置级

使用指南

应用场景

Option82选项记录了DHCP Client的位置信息。设备通过在DHCP请求报文中添加Option82选项,可将DHCP Client的位置信息发送给DHCP Server,从而使得DHCP Server能够根据Option82选项的内容为DHCP Client分配合适的IP地址和其他配置信息,并实现对客户端的安全控制。

使能在DHCP报文中添加Option82选项功能,分为Insert和Rebuild两种方式,使能方式不同设备对报文的处理也不同。
  • Insert方式:当设备收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项;若该报文中含有Option82选项,则判断Option82选项中是否包含remote-id,如果包含,则保持Option82选项不变,如果不包含,则插入remote-id。

  • Rebuild方式:当设备收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项;若该报文中含有Option82选项,则删除该Option82选项并插入管理员自己在设备上配置的Option82选项。

对于Insert和Rebuild两种方式,当设备接收到DHCP服务器的响应报文时,处理方式一致。

  • DHCP响应报文中有Option82选项:
    • 如果设备收到的DHCP请求报文中没有Option82选项,则设备将删除DHCP响应报文中的Option82选项,之后转发给DHCP Client。
    • 如果设备收到的DHCP请求报文中有Option82选项,则设备将DHCP响应报文中的Option82选项格式还原为DHCP请求报文中的Option82选项,之后转发给DHCP Client。
  • DHCP响应报文不含有Option82选项:直接转发。
说明:

当接口为物理接口时,该命令对直接转发的DHCP报文能够成功插入Option82字段,对隧道转发的DHCP报文不生效。

前置条件

在使能DHCP报文中插入Option82选项功能之前,需确保设备已使能了DHCP Snooping功能或支持并已配置为DHCP Relay。

注意事项

  • 设备在收到DHCP请求报文时首先会检测报文中的giaddr字段是否为零,为零则命令dhcp option82 enable功能生效,否则不生效。
  • DHCP Option82必须配置在设备的用户侧,否则设备向DHCP Server发出的DHCP报文不会携带Option82选项内容。

使用实例

# 在接口GE1/0/1上使能在DHCP报文中插入Option82选项功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp option82 insert enable
# 在VLAN100内使能在DHCP报文中强制插入Option82选项功能。
<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp option82 rebuild enable

dhcp option82 encapsulation

命令功能

dhcp option82 encapsulation命令用来配置插入DHCP Option82选项中的子选项。

undo dhcp option82 encapsulation命令用来恢复插入DHCP Option82选项中的子选项为缺省配置。

缺省情况下,插入DHCP Option82选项中的子选项为circuit-id(CID)子选项和remote-id(RID)子选项。

命令格式

dhcp option82 encapsulation { circuit-id | remote-id | subscriber-id | vendor-specific-id } *

undo dhcp option82 encapsulation

参数说明

参数 参数说明 取值
circuit-id

指定插入circuit-id子选项。

-
remote-id

指定插入remote-id子选项。

-
subscriber-id

指定插入subscriber-id(SID)子选项。

-
vendor-specific-id

指定插入Sub9字段中厂商自定义的子选项。

-

视图

系统视图、VLAN视图、接口视图、BD视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

该功能用于DHCP中继或DHCP Snooping设备上。Option82选项记录了DHCP Client的位置信息。设备通过在DHCP请求报文中添加Option82选项,可将DHCP Client的位置信息发送给DHCP Server,从而使得DHCP Server能够根据Option82选项的内容为DHCP Client分配合适的IP地址和其他配置信息,并实现对客户端的安全控制。管理员可以通过执行该命令来配置插入DHCP Option82选项中的子选项为circuit-id子选项、remote-id子选项、subscriber-id子选项以及Sub9字段中厂商自定义的子选项中的一个或者多个。命令执行后,没有配置插入的子选项默认不插入。

前置条件

执行命令dhcp enable,在系统视图下开启DHCP功能。

使用实例

# 配置插入DHCP Option82选项的子选项为circuit-id子选项。

<HUAWEI> system-view
[HUAWEI] dhcp option82 encapsulation circuit-id 

dhcp option82 format

命令功能

dhcp option82 format命令用来配置在DHCP报文中添加的Option82选项的格式。

undo dhcp option82 format命令用来恢复在DHCP报文中添加的Option82选项的格式为缺省格式。

缺省情况下,DHCP报文中添加的Option82选项的格式为default

命令格式

dhcp option82 [ vlan vlan-id ] [ ce-vlan ce-vlan-id ] [ circuit-id | remote-id ] format { default | common | extend | user-defined text }

undo dhcp option82 [ vlan vlan-id ] [ ce-vlan ce-vlan-id ] [ circuit-id | remote-id ] format

参数说明

参数 参数说明 取值
circuit-id 指定配置Option82的circuit-id(CID)子选项。若不选择该子选项,则其格式为缺省格式default -
remote-id 指定配置Option82的remote-id(RID)子选项。若不选择该子选项,则其格式为缺省格式default -
default

指定Option82选项为默认格式。

  • CID格式:接口名:svlan.cvlan主机名/0/0/0/0/0,ASCII封装。
  • RID格式:设备MAC,HEX封装。
-
common

指定Option82选项为通用格式。

  • CID格式:{eth|trunk}槽位号/子卡号/端口号:svlan.cvlan主机名/0/0/0/0/0,ASCII封装。
  • RID格式:设备MAC(6byte),ASCII封装。
-
extend

指定Option82选项为扩展格式。

  • CID格式:circuit-id type(0)+ length(4)+SVLAN(2byte)+slot(5bit)+subslot(3bit)+port(1byte),HEX封装。

  • RID格式:remote-id type(0)+length(6)+mac(6byte),HEX封装。

括号中的0或4表示该字段固定填0或4;2byte表示该字段长度为2字节;5bit表示该字段长度为5位。

-
user-defined text 指定Option82选项格式为用户自定义格式。

字符串格式,长度范围是1~255。详细要求请参见“使用指南”中的描述。

vlan vlan-id 指定外层VLAN的编号。若指定VLAN,则仅会配置属于该VLAN的DHCP报文中的Option82选项的格式;若不指定VLAN,则会配置接口收到的所有DHCP报文中的Option82选项的格式。 整数形式,取值范围是1~4094
ce-vlan ce-vlan-id 指定内层VLAN编号。 整数形式,取值范围是1~4094

视图

系统视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

使能在DHCP报文中添加Option82选项功能后,可根据情况通过命令dhcp option82 format配置添加的Option82选项的格式。

在系统视图下执行该命令,则对设备所有的接口该命令功能生效。

用户自定义Option82的格式时,可以使用如下的关键字。格式化字符串可以定义为HEX封装的格式、ASCII封装的格式或者HEX和ASCII混合的封装格式。
  • sysname:接入点标识。只允许出现在ASCII格式中。
  • portname:接口名。如GE1/0/1,只允许出现在ASCII格式中。
  • porttype:接口类型。允许定义在字符串格式和HEX格式中。比如定义在ASCII格式中封装内容为Ethernet,而定义在HEX格式中封装内容为15。
  • iftype:接口类型。包括eth、trunk,只允许出现在ASCII格式中。
  • mac:接口MAC地址。在ASCII格式中是H-H-H形式,在HEX中则用6字节按顺序封装。
  • slot:槽位号。允许定义在ASCII格式和HEX格式中。
  • subslot:子槽位号。允许定义在ASCII格式和HEX格式中。
  • port:端口号。允许定义在ASCII格式和HEX格式中。
  • svlan:外层vlan,取值范围1~4094,如果没有默认填0。允许定义在ASCII格式和HEX格式中。
  • cvlan:内层vlan,取值范围1~4094,如果没有默认填0。允许定义在ASCII格式和HEX格式中。
  • length:length关键字后面内容的总长度,不包括length关键字的长度。
  • n:n在关键字svlan、cvlan的前面表示外层VLAN或内层VLAN不存在时的取值。VLAN不存在时,在ASCII中默认取4096,HEX中默认取全F。如果前面加n表示取0。允许定义在ASCII格式和HEX格式中。
说明:

关键字之间应该要有分隔符,不然会出现无法解析的情况。所以约定:任意两个关键字之间必须要有非数字的分隔符。

设备上配置的length关键字个数不能超过一个。

特殊含义字符的解释如下:
  • %后面跟上面定义的关键字表示格式化的格式。
  • %号后面关键字前面可以跟数字表示格式化的长度。在ASCII格式字符串中,"%05"与C语言中"%05d"意思一样。在HEX格式字符串中,该数字表明封装时后面关键字占用多少bit。
  • []里面的表示可选项,里面只能有一个关键字svlan、cvlan之一。表示该关键字存在的话才封装进去,并且该符号不允许嵌套,以便于语法检查。
  • \表示转义字符,\后面的特殊字符%\[]表示字符本身。比如\\表示字符\。
  • ""表示双引号扩起来的内容使用字符串格式进行封装,否则,没有双引号或者双引号之外的内容使用HEX进行封装。
  • 其他的符号都作为普通字符处理。ASCII格式和HEX格式封装时的规则如下:
    • ASCII格式字符串中可以允许的字符包含阿拉伯数字、大写英文字母、小写英文字母以及这些符号:!@#$%^&*()_+|-=\[]{};:'"/?.,<>`。
    • 在ASCII格式字符串中,各关键字默认长度取实际长度。
    • HEX格式字符串中可以允许出现数字、空格、%+关键字。
    • HEX格式字符串中,数字将直接以16进制形式封装进option82中。0~255之间的数字占用一个字节;256~65535之间的数字占用2个字节;65536~4294967295之间的数字占用4个字节。不支持更大的数字。如果需要封装多个连续的数字,各数字之间以空格分开,否则认为是一个数字。
    • 封装HEX格式时,将忽略HEX格式字符串中所有空格。
    • 在HEX格式字符串中,槽位号、子槽位号、端口号、vlan关键字默认占用2个字节。length默认占用1个字节。
    • 在HEX格式字符中,如果指定了各关键字位宽,那么HEX格式总位宽应该是8的整数倍。如果指定的关键字位宽超过32位,则低32位封装实际的值,其他部分填0。
    • 只允许数字型关键字出现在HEX封装中,比如接口名不能以HEX封装。
    • 如果格式字符串未加双引号,则默认封装格式是HEX。如果需要封装ASCII格式,请用""将配置的格式扩起来。比如槽位号是3,端口号是4,格式%slot %port的封装结果是16进制的00030004;而格式"%slot %port"封装的结果是3 4。
    • 支持HEX与ASCII的混合配置,比如配置格式为 %slot %port "%sysname %portname:%svlan.%cvlan"是允许的。
注意事项
  • 系统视图下或同一个接口视图下配置的所有Option82选项共用1~255个字节长度,因此,所有Option82选项长度之和不能超过255个字节,否则会导致部分Option82选项信息丢失。

  • 设备不限制配置多少个Option82选项,但是大量配置会占用很多内存,并延长设备处理时间。为保证设备性能,建议用户根据自身需要和设备内存大小来配置Option82选项。

使用实例

# 配置Option82选项的CID使用默认格式。

<HUAWEI> system-view
[HUAWEI] dhcp option82 circuit-id format default

# 配置Option82选项的CID和RID使用扩展格式。

<HUAWEI> system-view
[HUAWEI] dhcp option82 format extend

# 配置Option82的CID为自定义的格式,按ASCII封装接口名、外层VLAN、内层VLAN、系统名。

<HUAWEI> system-view
[HUAWEI] dhcp option82 circuit-id format user-defined "%portname:%svlan.%cvlan %sysname"

# 配置Option82的CID为自定义的格式,按HEX封装CID类型(固定填0,表示是HEX封装)、长度(不包含CID类型和长度域)、外层VLAN、槽位号(占5bit)、子槽位号(占3bit)、端口号(占8bit)。

<HUAWEI> system-view
[HUAWEI] dhcp option82 circuit-id format user-defined 0 %length %svlan %5slot %3subslot %8port

# 配置Option82的RID格式为自定义格式,填充按HEX封装的设备MAC。

<HUAWEI> system-view
[HUAWEI] dhcp option82 remote-id format user-defined %mac

# 在接口GE1/0/1下配置Option82选项的CID使用默认格式。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp option82 circuit-id format default

# 在接口GE1/0/1下配置VLAN10的DHCP报文中添加Option82选项的CID和RID使用扩展格式。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp option82 vlan 10 format extend

# 在接口GE1/0/1下配置Option82的CID为自定义的格式,按ASCII封装接口名、外层VLAN、内层VLAN、系统名。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp option82 circuit-id format user-defined "%portname:%svlan.%cvlan %sysname"

# 在接口GE1/0/1下配置Option82的CID为自定义的格式,按HEX封装CID类型(固定填0,表示是HEX封装)、长度(不包含CID类型和长度域)、外层VLAN、槽位号(占5bit)、子槽位号(占3bit)、端口号(占8bit)。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp option82 circuit-id format user-defined 0 %length %svlan %5slot %3subslot %8port

# 在接口GE1/0/1下配置Option82的RID格式为自定义格式,填充按HEX封装的设备MAC。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp option82 remote-id format user-defined %mac

dhcp option82 subscriber-id format

命令功能

dhcp option82 subscriber-id format命令用来配置DHCP报文中插入Option82选项的子选项Sub6。

undo dhcp option82 subscriber-id format命令用来取消DHCP报文中插入Option82选项的子选项Sub6。

缺省情况下,未配置DHCP报文中插入Option82选项的Sub6子选项。

命令格式

dhcp option82 subscriber-id format { ascii ascii-text | hex hex-text }

undo dhcp option82 subscriber-id format

参数说明

参数 参数说明 取值
ascii ascii-text

指定Sub6字段中插入的ASCII字符串。

ASCII字符串形式,长度小于129个字符。

hex hex-text

指定Sub6字段中插入的HEX字符串。

十六进制字符串形式。只能配置为0~9,A~F或者a~f范围段的字符。去掉空格后长度必须是偶数并且小于257。

视图

系统视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在基于DHCP+DHCP Snooping+Option82技术的有线以太网接入认证系统中,设备可以在DHCP请求报文中插入Option82信息(子选项Sub1、子选项Sub2、子选项Sub6和子选项Sub9),以便运维时能够根据接收到的用户设备DHCP的请求报文来定位该用户设备信息,达到防止用户通过静态指定IP地址以及盗用账号等手段非法接入网络的目的。dhcp option82 subscriber-id format提供对Sub6字段的配置手段。

前置条件

在执行该命令之前,需确保已使用命令dhcp enable使能了设备的DHCP功能。

使用实例

# 在接口GE0/0/1下配置Option82选项的子选项Sub6,填充按ASCII封装。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] dhcp option82 subscriber-id format ascii hw

dhcp option82 vendor-specific format

命令功能

dhcp option82 vendor-specific format命令用来配置在DHCP报文中插入Option82选项的Sub9子选项。

undo dhcp option82 vendor-specific format命令用来取消在DHCP报文中插入Option82选项的Sub9子选项的配置。

缺省情况下,未配置在DHCP报文中插入Option82选项的Sub9子选项。

命令格式

dhcp option82 vendor-specific format vendor-sub-option sub-option-num { ascii ascii-text | hex hex-text | ip-address ip-address &<1-8> | sysname }

undo dhcp option82 vendor-specific format vendor-sub-option sub-option-num

参数说明

参数 参数说明 取值
vendor-sub-option sub-option-num 指定Sub9子选项。 整数形式,取值范围是1~255。
ascii ascii-text 指定Sub9字段中厂商自定义的子选项中插入的ASCII字符串。 ASCII字符串形式,长度小于129个字符。
hex hex-text 指定Sub9字段中厂商自定义的子选项中插入的HEX字符串。 十六进制字符串形式。只能配置为0~9,A~F或者a~f范围段的字符。去掉空格后长度必须是偶数并且小于257
ip-address ip-address 指定Sub9字段中厂商自定义的子选项中插入的IP地址。 -
sysname 指定Sub9字段中厂商自定义的子选项中插入的设备名称。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在基于DHCP+DHCP Snooping+Option82技术的有线以太网接入认证系统中,设备可以在DHCP请求报文中插入Option82信息(子选项1、子选项2和子选项9),以便运维时能够根据接收到的用户设备DHCP的请求报文来定位该用户设备信息,达到防止用户通过静态指定IP地址以及盗用账号等手段非法接入网络的目的。dhcp option82 vendor-specific format提供对Sub9字段中定制子字段的配置手段。

前置条件

在执行该命令之前,需确保已使用命令dhcp enable使能了设备的DHCP功能。

使用实例

# 配置Sub9字段中厂商自定义的子选项1中插入设备名。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp option82 vendor-specific format vendor-sub-option 1 sysname
相关主题

dhcp server detect

命令功能

dhcp server detect命令用来使能DHCP Server探测功能。

undo dhcp server detect命令用来去使能DHCP Server探测功能。

缺省情况下,未使能DHCP Server探测功能。

命令格式

dhcp server detect

undo dhcp server detect

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当网络中存在伪DHCP Server时,伪DHCP Server将会回应给DHCP Client仿冒信息,如错误的网关地址、错误的DNS服务器、错误的IP等,从而使Client无法正常访问网络或访问到不正确的网络。

DHCP Snooping设备在使能DHCP Server探测功能之后,将会检查并在日志中记录所有DHCP Reply报文中携带的DHCP Server地址与接口等信息。此后网络管理员可根据日志来判定网络中是否存在伪DHCP Server进而对网络进行维护。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 使能DHCP Server探测功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp server detect

dhcp snooping alarm dhcp-rate enable

命令功能

dhcp snooping alarm dhcp-rate enable命令用来使能当丢弃的DHCP报文数达到告警阈值时的告警功能。

undo dhcp snooping alarm dhcp-rate enable命令用来去使能当丢弃的DHCP报文数达到告警阈值时的告警功能。

缺省情况下,未使能当丢弃的DHCP报文数达到告警阈值时的告警功能。

命令格式

dhcp snooping alarm dhcp-rate enable [ threshold threshold ]

undo dhcp snooping alarm dhcp-rate enable [ threshold ]

参数说明

参数

参数说明

取值

threshold threshold

指定告警阈值。当丢弃的DHCP报文数达到此告警阈值,将产生告警信息。请参考dhcp snooping alarm dhcp-rate threshold

整数形式,取值范围是1~1000,缺省值为100。

视图

系统视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

设备在使能DHCP Snooping后,接收到的DHCP Request报文和DHCP Reply报文将会上送到DHCP报文处理单元处理,此时如果报文上送速率过快,将会影响DHCP报文处理单元的处理效率。在使用命令dhcp snooping check dhcp-rate enable使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能之后,设备将会检测DHCP报文的上送速率,并仅允许在规定速率内的报文上送至DHCP报文处理单元,而超过规定速率的报文将会被丢弃。

执行本命令之后,若丢弃的DHCP报文数达到告警阈值时将产生告警。告警阈值可通过命令dhcp snooping alarm dhcp-rate threshold进行配置。

在系统视图下执行本命令,则对设备所有的接口该命令功能有效;而若在接口视图下执行本命令,则仅针对该接口命令功能有效。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

为确保告警能够上报,需执行命令snmp-agent trap enable feature-name dhcp打开DHCP模块对应告警的上报开关。通过命令display snmp-agent trap feature-name dhcp all,可以查看DHCP模块对应告警上报开关的状态。

使用实例

# 系统视图下使能当丢弃的DHCP报文数达到告警阈值时的告警功能。
<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping check dhcp-rate enable
[HUAWEI] dhcp snooping alarm dhcp-rate enable

# 在接口GE1/0/1下使能当丢弃的DHCP报文数达到告警阈值时的告警功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping check dhcp-rate enable
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping alarm dhcp-rate enable

dhcp snooping alarm dhcpv6-rate enable

命令功能

dhcp snooping alarm dhcpv6-rate enable命令用来使能当丢弃的DHCPv6报文数达到告警阈值时的告警功能。

undo dhcp snooping alarm dhcpv6-rate enable命令用来去使能当丢弃的DHCPv6报文数达到告警阈值时的告警功能。

缺省情况下,未使能当丢弃的DHCPv6报文数达到告警阈值时的告警功能。

命令格式

dhcp snooping alarm dhcpv6-rate enable

undo dhcp snooping alarm dhcpv6-rate enable

参数说明

视图

系统视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

设备在使能DHCP Snooping后,接收到的DHCPv6报文将会上送到DHCPv6报文处理单元处理,此时如果报文上送速率过快,将会影响DHCPv6报文处理单元的处理效率。在使用命令dhcp snooping check dhcpv6-rate enable使能对DHCPv6报文上送DHCPv6报文处理单元的速率进行检测功能之后,设备将会检测DHCPv6报文的上送速率,并仅允许在规定速率内的报文上送至DHCPv6报文处理单元,而超过规定速率的报文将会被丢弃。

执行本命令之后,在丢弃的DHCPv6报文数达到告警阈值时将产生告警。告警阈值可通过命令dhcp snooping alarm dhcpv6-rate threshold进行配置。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

在系统视图配置时,则对设备所有的接口有效;在接口视图配置时,则仅针对该接口有效。

为确保告警能够上报,需执行命令snmp-agent trap enable feature-name dhcp打开DHCP模块对应告警的上报开关。通过命令display snmp-agent trap feature-name dhcp all,可以查看DHCP模块对应告警上报开关的状态。

使用实例

# 系统视图下使能当丢弃的DHCPv6报文数达到告警阈值时的告警功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping alarm dhcpv6-rate enable

dhcp snooping alarm dhcp-rate threshold

命令功能

dhcp snooping alarm dhcp-rate threshold命令用来配置被丢弃的DHCP报文的告警阈值。

undo dhcp snooping alarm dhcp-rate threshold命令用来恢复被丢弃的DHCP报文的告警阈值为缺省值。

缺省情况下,全局被丢弃的DHCP报文的告警阈值为100packets,接口下被丢弃的DHCP报文的告警阈值为在系统视图下配置的值。

命令格式

dhcp snooping alarm dhcp-rate threshold threshold

undo dhcp snooping alarm dhcp-rate threshold

参数说明

参数 参数说明 取值
threshold 指定告警阈值,当丢弃的DHCP报文达到此告警阈值,将产生告警信息。 整数形式,取值范围是1~1000。缺省值为100。

视图

系统视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在使用命令dhcp snooping alarm dhcp-rate enable使能当丢弃的DHCP报文数达到告警阈值时的告警功能后,可执行本命令配置被丢弃的DHCP报文的告警阈值。当丢弃的DHCP报文数达到此命令设置的告警阈值时,将产生告警信息。

若在系统视图和接口视图下同时配置了被丢弃的DHCP报文的告警阈值,则以最小值为准。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 设置接口GE1/0/1下检查DHCP报文速率的告警阈值为50。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping alarm dhcp-rate threshold 50

dhcp snooping alarm dhcpv6-rate threshold

命令功能

dhcp snooping alarm dhcpv6-rate threshold命令用来配置被丢弃的DHCPv6报文的告警阈值。

undo dhcp snooping alarm dhcpv6-rate threshold命令用来恢复缺省值。

缺省情况下,全局被丢弃的DHCPv6报文的告警阈值为100packets,接口下被丢弃的DHCPv6报文的告警阈值为在系统视图下配置的值。

命令格式

dhcp snooping alarm dhcpv6-rate threshold threshold

undo dhcp snooping alarm dhcpv6-rate threshold

参数说明

参数 参数说明 取值
threshold 指定告警阈值,当丢弃的DHCPv6报文达到此告警阈值,将产生告警信息。 整数形式,取值范围是1~1000,单位是packets。

视图

系统视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在使用命令dhcp snooping alarm dhcpv6-rate enable使能当丢弃的DHCPv6报文数达到告警阈值时的告警功能后,可执行命令dhcp snooping alarm dhcpv6-rate threshold threshold,配置被丢弃的DHCPv6报文的告警阈值。当丢弃的DHCPv6报文数达到此命令设置的告警阈值时,将产生告警信息。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

  • 在系统视图配置时,则对设备所有的接口有效;在接口视图配置时,则仅针对该接口有效。

  • 在系统视图、接口视图下同时配置告警阈值时,则以两者最小值为准。

使用实例

# 系统视图下配置被丢弃的DHCPv6报文的告警阈值为500packets。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping alarm dhcpv6-rate threshold 500

dhcp snooping alarm enable

命令功能

dhcp snooping alarm enable命令用来使能DHCP Snooping告警功能。

undo dhcp snooping alarm enable命令用来去使能DHCP Snooping告警功能。

缺省情况下,未使能DHCP Snooping告警功能。

命令格式

dhcp snooping alarm { dhcp-request | dhcp-chaddr | dhcp-reply } enable [ threshold threshold ]

undo dhcp snooping alarm { dhcp-request | dhcp-chaddr | dhcp-reply } enable [ threshold ]

dhcp snooping alarm dhcpv6-request enable

undo dhcp snooping alarm dhcpv6-request enable

参数说明

参数 参数说明 取值
dhcp-request 指定与绑定表不匹配而被丢弃的DHCPv4请求报文数达到阈值时而产生告警。 -
dhcp-chaddr 指定数据帧头MAC地址与DHCPv4请求报文中的CHADDR字段不一致被丢弃的报文达到阈值时而产生告警。 -
dhcp-reply 指定非信任接口丢弃服务器发送的DHCPv4回应报文数达到阈值时而产生告警。 -
dhcpv6-request 指定与绑定表不匹配而被丢弃的DHCPv6请求报文数达到阈值时而产生告警。 -
threshold threshold 指定告警阈值。当丢弃的DHCPv4报文数达到此告警阈值,将产生告警信息。 整数形式,取值范围是1~1000。

视图

GE接口视图、XGE接口视图、40GE接口视图100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

使能告警功能后如果有对应的攻击,并且丢弃的攻击报文超过阈值,会有相应的告警信息出现。发送告警的最小时间间隔为1分钟。告警阈值可以通过dhcp snooping alarm threshold命令配置。

前置条件

执行本命令之前需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

设备默认不检查客户端侧收到的报文,所以:
  • 配置命令dhcp snooping alarm [ dhcp-request | dhcpv6-request ] enable之前,需要配置命令dhcp snooping check dhcp-request enable使能对DHCP报文进行绑定表匹配检查的功能。
  • 配置命令dhcp snooping alarm dhcp-chaddr enable之前,需要配置命令dhcp snooping check dhcp-chaddr enable使能检测DHCPv4请求报文帧头源MAC地址与CHADDR字段是否相同的功能。

为确保告警能够上报,需执行命令snmp-agent trap enable feature-name dhcp打开DHCP模块对应告警的上报开关。通过命令display snmp-agent trap feature-name dhcp all,可以查看DHCP模块对应告警上报开关的状态。

使用实例

# 在接口GE1/0/1上使能DHCP Snooping,使能dhcp-chaddr检查,并使能dhcp-chaddr检查的丢弃报文告警功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping check dhcp-chaddr enable
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping alarm dhcp-chaddr enable

dhcp snooping alarm threshold

命令功能

dhcp snooping alarm threshold命令用来配置DHCP Snooping丢弃报文数量的告警阈值。

undo dhcp snooping alarm threshold命令用来恢复告警阈值为缺省值。

缺省情况下,全局DHCP Snooping丢弃报文数量的告警阈值为100packets,接口下DHCP Snooping丢弃报文数量的告警阈值为在系统视图下使用命令dhcp snooping alarm threshold配置的值。

命令格式

系统视图:

dhcp snooping alarm threshold threshold

undo dhcp snooping alarm threshold

接口视图:

dhcp snooping alarm { dhcp-request | dhcp-chaddr | dhcp-reply | dhcpv6-request } threshold threshold

undo dhcp snooping alarm { dhcp-request | dhcp-chaddr | dhcp-reply | dhcpv6-request } threshold

参数说明

参数 参数说明 取值
threshold 指定DHCP Snooping丢弃报文的告警阈值。 整数形式,取值范围是1~1000。
dhcp-request 指定与绑定表不匹配而被丢弃的DHCPv4请求报文的告警阈值。 -
dhcp-chaddr 指定数据帧头MAC地址与DHCPv4请求报文中的CHADDR字段不匹配而被丢弃的DHCP报文的告警阈值。 -
dhcp-reply 指定非信任接口丢弃服务器发送的DHCPv4回应报文的告警阈值。 -
dhcpv6-request 指定与绑定表不匹配而被丢弃的DHCPv6请求报文的告警阈值。 -

视图

系统视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在使能DHCP Snooping告警功能之后,可使用命令dhcp snooping alarm threshold配置DHCP Snooping丢弃报文数量的告警阈值。

前置条件

执行本命令之前需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

为保证命令功能生效,需使用命令dhcp snooping alarm { dhcp-request | dhcp-chaddr | dhcp-reply | dhcpv6-request } enable使能DHCP Snooping告警功能。

注意事项

在系统视图下执行该命令,则对设备所有的接口该命令功能生效。

若在系统视图下配置DHCP Snooping丢弃报文数量的告警阈值,则为设备丢弃的所有类型报文数达到阈值时将会告警。

使用实例

# 配置全局DHCP Snooping丢弃报文的告警阈值为200。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping alarm threshold 200

# GE1/0/1接口使能DHCP Snooping,使能dhcp-chaddr检查,并配置dhcp-chaddr检查的丢弃报文告警功能,告警阈值为1000。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping check dhcp-chaddr enable
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping alarm dhcp-chaddr enable
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping alarm dhcp-chaddr threshold 1000

dhcp snooping check dhcp-giaddr enable

命令功能

dhcp snooping check dhcp-giaddr enable命令用来使能检测DHCP报文中GIADDR字段是否非零的功能。

undo dhcp snooping check dhcp-giaddr enable命令用来去使能检测DHCP报文中GIADDR字段是否非零的功能。

缺省情况下,未使能检测DHCP报文中GIADDR字段是否非零的功能。

命令格式

系统视图:

dhcp snooping check dhcp-giaddr enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

undo dhcp snooping check dhcp-giaddr enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

VLAN视图、接口视图:

dhcp snooping check dhcp-giaddr enable

undo dhcp snooping check dhcp-giaddr enable

参数说明

参数 参数说明 取值
vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> 使能对从指定VLAN内上送的DHCP报文进行GIADDR字段是否非零的检测功能。
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。
整数形式,取值范围是1~4094。

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

为了保证设备在生成DHCP Snooping绑定表时能够获取到用户MAC等参数,DHCP Snooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上。故DHCP Snooping设备接收到的DHCP报文中GIADDR字段必然为零,若不为零则该报文为非法报文,设备需丢弃此类报文。在DHCP中继使能DHCP Snooping场景中,建议配置该功能。

通常情况下,PC发出的DHCP报文中GIADDR字段为零。在某些情况下,PC发出的DHCP报文中GIADDR字段不为零,可能导致DHCP服务器分配错误的IP地址。为了防止PC用户伪造GIADDR字段不为零的DHCP报文申请IP地址,建议配置该功能。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

在VLAN视图下执行此命令,将仅对属于该VLAN的DHCP报文命令功能生效;在接口下执行该命令,则将对该接口下的所有DHCP报文命令功能生效。

使用实例

# 在VLAN10下使能检测DHCP报文中GIADDR字段是否非零的功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 10
[HUAWEI-vlan10] dhcp snooping check dhcp-giaddr enable

# 在接口GE1/0/1下使能检测DHCP报文中GIADDR字段是否非零的功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping check dhcp-giaddr enable

dhcp snooping check dhcp-rate

命令功能

dhcp snooping check dhcp-rate命令用来配置DHCP报文上送DHCP报文处理单元的最大允许速率。

undo dhcp snooping check dhcp-rate命令用来恢复DHCP报文上送DHCP报文处理单元的最大允许速率为缺省值。

缺省情况下,全局DHCP报文上送DHCP报文处理单元的最大允许速率为100pps,接口下DHCP报文上送DHCP报文处理单元的最大允许速率为在系统视图下配置的值。

命令格式

系统视图:

dhcp snooping check dhcp-rate rate [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

undo dhcp snooping check dhcp-rate

VLAN视图、接口视图:

dhcp snooping check dhcp-rate rate

undo dhcp snooping check dhcp-rate

参数说明

参数 参数说明 取值
rate 指定DHCP报文上送DHCP报文处理单元的最大允许速率。 整数形式,取值范围是1~100,单位pps。
vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>
配置属于指定VLAN的DHCP报文上送到DHCP报文处理单元的最大允许速率。
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。

若不选取该参数,则对所有的DHCP报文命令功能生效。

整数形式,取值范围是1~4094

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

设备在使能DHCP Snooping后,接收到的DHCP Request报文和DHCP Reply报文将会上送到DHCP报文处理单元处理,此时如果报文上送速率过快,将会影响DHCP报文处理单元的处理效率。在使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能之后,可使用本命令用来配置DHCP报文上送DHCP报文处理单元的最大允许速率,此后,超过该速率的报文将会被丢弃。

前置条件

配置允许上送DHCP报文处理单元的DHCP报文速率最大值之前,需确保已使用命令dhcp snooping check dhcp-rate enable使能了上送DHCP报文处理单元的DHCP报文速率检测功能,否则配置不生效。

注意事项

若同时在系统视图、VLAN视图、接口视图下配置DHCP报文上送DHCP报文处理单元的最大允许速率,则以三者中的最小值为准。

使用实例

# 全局视图下配置允许上送DHCP报文处理单元的DHCP报文速率最大值为50pps。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping check dhcp-rate enable
[HUAWEI] dhcp snooping check dhcp-rate 50

dhcp snooping check dhcpv6-rate

命令功能

dhcp snooping check dhcpv6-rate命令用来配置DHCPv6报文上送DHCPv6报文处理单元的最大允许速率。

undo dhcp snooping check dhcpv6-rate命令用来恢复缺省值。

缺省情况下,DHCPv6报文上送DHCPv6报文处理单元的最大允许速率为100pps。

命令格式

dhcp snooping check dhcpv6-rate rate

undo dhcp snooping check dhcpv6-rate

参数说明

参数 参数说明 取值
rate 指定DHCPv6报文上送DHCPv6报文处理单元的最大允许速率。 整数形式,取值范围是1~400,单位pps。

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

设备在使能DHCP Snooping后,接收到的DHCPv6报文将会上送到DHCPv6报文处理单元处理,此时如果报文上送速率过快,将会影响DHCPv6报文处理单元的处理效率。使能对DHCPv6报文上送DHCPv6报文处理单元的速率进行检测功能之后,设备将会检测DHCPv6报文的上送速率,并仅允许在规定速率内的报文上送至DHCPv6报文处理单元,而超过规定速率的报文将会被丢弃。

配置允许上送DHCP报文处理单元的DHCP报文速率最大值之前,需确保已使用命令dhcp snooping check dhcpv6-rate enable使能了上送DHCPv6报文处理单元的DHCPv6报文速率检测功能,否则配置不生效。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

  • 在系统视图配置时,则对设备所有的接口有效;在接口视图配置时,则仅针对该接口有效;在VLAN视图配置时,则对属于该VLAN的所有接口有效。

  • 在系统视图、VLAN视图、接口视图同时配置最大允许的上送速率时,则以三者中的最小值为准。

使用实例

# 系统视图下配置允许上送DHCPv6报文处理单元的DHCPv6报文速率最大值为50pps。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping check dhcpv6-rate 50

dhcp snooping check dhcp-rate enable

命令功能

dhcp snooping check dhcp-rate enable命令用来使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

undo dhcp snooping check dhcp-rate enable命令用来去使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

缺省情况下,未使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

命令格式

系统视图:

dhcp snooping check dhcp-rate enable [ rate ] [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

undo dhcp snooping check dhcp-rate enable [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

VLAN视图、接口视图

dhcp snooping check dhcp-rate enable [ rate ]

undo dhcp snooping check dhcp-rate enable

参数说明

参数 参数说明 取值
rate

指定DHCP报文上送DHCP报文处理单元的最大允许速率。

该参数功能请参见命令dhcp snooping check dhcp-rate

取值范围是1~100,单位pps,缺省值为100。
vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>
使能对属于指定VLAN的DHCP报文上送到DHCP报文处理单元的速率进行检测功能。
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。

若不选取该参数,则对所有的DHCP报文命令功能生效。

整数形式,取值范围是1~4094

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

设备在使能DHCP Snooping后,接收到的DHCP Request报文和DHCP Reply报文将会上送到DHCP报文处理单元处理,此时如果报文上送速率过快,将会影响DHCP报文处理单元的处理效率。使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能之后,设备将会检测DHCP报文的上送速率,并仅允许在规定速率内的报文上送至DHCP报文处理单元,而超过规定速率的报文将会被丢弃。

在使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能后,设备将默认允许上送的最大速率为100pps,若需更改该值,可使用命令dhcp snooping check dhcp-rate进行配置。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 系统视图下使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping check dhcp-rate enable

# 在VLAN10视图下使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 10
[HUAWEI-vlan10] dhcp snooping enable
[HUAWEI-vlan10] dhcp snooping check dhcp-rate enable

dhcp snooping check dhcpv6-rate enable

命令功能

dhcp snooping check dhcpv6-rate enable命令用来使能对DHCPv6报文上送DHCPv6报文处理单元的速率进行检测功能。

undo dhcp snooping check dhcpv6-rate enable命令用来去使能对DHCPv6报文上送DHCPv6报文处理单元的速率进行检测功能。

缺省情况下,未使能对DHCPv6报文上送DHCPv6报文处理单元的速率进行检测功能。

命令格式

dhcp snooping check dhcpv6-rate enable

undo dhcp snooping check dhcpv6-rate enable

参数说明

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

设备在使能DHCP Snooping后,接收到的DHCPv6报文将会上送到DHCPv6报文处理单元处理,此时如果报文上送速率过快,将会影响DHCPv6报文处理单元的处理效率。使能对DHCPv6报文上送DHCPv6报文处理单元的速率进行检测功能之后,设备将会检测DHCPv6报文的上送速率,并仅允许在规定速率内的报文上送至DHCPv6报文处理单元,而超过规定速率的报文将会被丢弃。

在使能对DHCPv6报文上送DHCPv6报文处理单元的速率进行检测功能后,设备将默认允许上送的最大速率为100pps,若需更改该值,可使用命令dhcp snooping check dhcpv6-rate进行配置。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

在系统视图下执行本命令,则对设备所有的接口该命令功能有效;在接口视图下执行本命令,则仅针对该接口命令功能有效;在VLAN视图下执行此命令,则对属于该VLAN的所有接口命令功能生效。

使用实例

# 系统视图下使能对DHCPv6报文上送DHCPv6报文处理单元的速率进行检测功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping check dhcpv6-rate enable

dhcp snooping check dhcp-chaddr enable

命令功能

dhcp snooping check dhcp-chaddr enable命令用来使能检测DHCP Request报文帧头源MAC地址与CHADDR字段是否相同的功能。

undo dhcp snooping check dhcp-chaddr enable命令用来去使能检测DHCP Request报文帧头源MAC地址与CHADDR字段是否相同的功能。

缺省情况下,未使能检测DHCP Request报文帧头源MAC地址与CHADDR字段是否相同的功能。

命令格式

系统视图:

dhcp snooping check dhcp-chaddr enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

undo dhcp snooping check dhcp-chaddr enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

VLAN视图、接口视图:

dhcp snooping check dhcp-chaddr enable

undo dhcp snooping check dhcp-chaddr enable

参数说明

参数 参数说明 取值
vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>
使能对从指定VLAN内上送的DHCP报文进行帧头MAC地址与CHADDR字段是否相同的检测功能。
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。
整数形式,取值范围是1~4094

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

正常情况下DHCP Request报文中CHADDR字段与发送该报文的客户端MAC地址是相同的,同时DHCP Server通常仅根据CHADDR字段来确认客户端的MAC地址。如果攻击者通过不断改变DHCP Request报文中的CHADDR字段向DHCP Server申请IP地址,将会导致DHCP Server上的地址池被耗尽,从而无法为其他正常用户提供IP地址。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效;在接口下执行该命令,则仅对该接口接收到的所有DHCP报文命令功能生效。

使用实例

# 在GE1/0/1接口下使能dhcp-chaddr检查功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping check dhcp-chaddr enable

dhcp snooping check dhcp-request enable

命令功能

dhcp snooping check dhcp-request enable命令用来使能对DHCP报文进行绑定表匹配检查的功能。

undo dhcp snooping check dhcp-request enable命令用来去使能对DHCP报文进行绑定表匹配检查的功能。

缺省情况下,未使能对DHCP报文进行绑定表匹配检查的功能。

命令格式

系统视图:

dhcp snooping check dhcp-request enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

undo dhcp snooping check dhcp-request enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

VLAN视图、接口视图:

dhcp snooping check dhcp-request enable

undo dhcp snooping check dhcp-request enable

参数说明

参数 参数说明 取值
vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> 使能对从指定VLAN内上送的DHCP报文进行绑定表匹配检查功能。 整数形式,取值范围是1~4094

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在生成绑定表后,设备可根据绑定表项,对DHCPv6 Request报文、DHCPv4 Request报文或DHCPv4 Release报文进行匹配检查,只有匹配成功的报文设备才将其转发,否则将丢弃。这将能有效的防止非法用户通过发送伪造的DHCP报文冒充合法用户续租或释放IP地址。

设备根据绑定表项对DHCPv6 Request报文、DHCPv4 Request报文或DHCPv4 Release报文的匹配检查规则如下。

  • 对DHCPv4 Request报文:
    1. 首先检查报文的目的MAC是否是为全F,如果是则认为是第一次上线的DHCPv4 Request广播报文,直接通过;如果报文的目的MAC不是全F,则认为是续租报文,将根据绑定表进行匹配检查。
    2. 检查报文中的CHADDR是否命中绑定表,如果没有命中,则认为是用户第一次上线,直接通过;如果CHADDR命中绑定表,则继续检查报文中的VLAN、IP、接口信息是否均和绑定表匹配,完全匹配通过,否则丢弃。
  • 对DHCPv4 Release报文,将直接检查报文中的VLAN、IP、MAC、接口信息是否匹配动态绑定表,匹配则通过,不匹配则丢弃。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效;在接口下执行该命令,则仅对该接口接收到的所有DHCP报文命令功能生效。

使用实例

# 在VLAN10内使能DHCP报文绑定表匹配检查功能。
<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 10
[HUAWEI-vlan10] dhcp snooping enable
[HUAWEI-vlan10] dhcp snooping check dhcp-request enable

dhcp snooping disable

命令功能

dhcp snooping disable命令用来去使能接口的DHCP Snooping功能。

undo dhcp snooping disable命令用来取消去使能接口的DHCP Snooping功能。

缺省情况下,接口的DHCP Snooping功能是否使能依赖于是否在该接口或者该接口所在的VLAN下使用dhcp snooping enable命令使能DHCP Snooping功能。

命令格式

dhcp snooping disable

undo dhcp snooping disable

参数说明

视图

GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

若使用命令dhcp snooping enable使能了某一VLAN的DHCP Snooping功能,则VLAN内所有的接口均使能了DHCP Snooping功能。此时如果需要去使能一特定接口的DHCP Snooping功能,但是由于并不是在该接口下执行命令dhcp snooping enable,所以也不能通过命令undo dhcp snooping enable来去使能接口的DHCP Snooping功能。针对这种情况,可使用命令dhcp snooping disable去使能特定接口的DHCP Snooping功能。此后该接口下的用户将能够正常上线,但是却并不会生成DHCP动态绑定表。

注意事项

  • 执行命令dhcp snooping disable之后,在去使能接口的DHCP Snooping功能时将同时清除DHCP Snooping功能的相关配置以及DHCP Snooping动态绑定表;而执行命令undo dhcp snooping enable则仅去使能DHCP Snooping功能,DHCP Snooping功能的相关配置以及DHCP Snooping动态绑定表仍将保留。
  • 执行命令undo dhcp snooping disable之后,则接口的DHCP Snooping功能仅恢复为设备的缺省情况即未使能状态,若要使能接口的DHCP Snooping功能,则需执行命令dhcp snooping enable

使用实例

# 接口GE1/0/1已加入VLAN10,去使能VLAN10中接口GE1/0/1的DHCP Snooping功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 10
[HUAWEI-vlan10] dhcp snooping enable
[HUAWEI-vlan10] quit
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping disable

dhcp snooping enable

命令功能

dhcp snooping enable命令用来使能DHCP Snooping功能。

undo dhcp snooping enable命令用来去使能DHCP Snooping功能。

缺省情况下,设备未使能DHCP Snooping功能。

命令格式

系统视图:

dhcp snooping enable [ ipv4 | ipv6 | vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

undo dhcp snooping enable [ ipv4 | ipv6 | vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

VLAN视图、接口视图:

dhcp snooping enable

undo dhcp snooping enable

参数说明

参数 参数说明 取值
ipv4

指定设备仅处理DHCPv4报文。

-
ipv6

指定设备仅处理DHCPv6报文。

-
vlan { vlan-id1 [ to vlan-id2 ] }
使能指定VLAN的DHCP Snooping功能。
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。
所指定的VLAN编号必须已存在。

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

DHCP Snooping是一种DHCP安全特性,使能设备的DHCP Snooping功能,可有效提高DHCP的安全性。使用命令dhcp snooping enable使能设备的DHCP Snooping功能时,设备将同时处理DHCPv4报文与DHCPv6报文。但在实际应用中,使能了DHCP Snooping功能的设备如果仅需处理DHCPv4报文或DHCPv6报文时,则可使用命令dhcp snooping enable ipv4dhcp snooping enable ipv6,这样将能够有效的节约设备的CPU利用率。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能,再使能接口或VLAN下的DHCP Snooping功能。

前置条件

使能DHCP Snooping功能之前,必须已使用命令dhcp enable使能了全局DHCP功能。

后续任务

在连接用户的接口或VLAN下使能DHCP Snooping功能之后,需要使用命令dhcp snooping trusted将连接DHCP服务器的接口配置为“信任”模式,两者配合使用才能生成绑定表。

注意事项

系统视图下,dhcp snooping enable命令是DHCP Snooping相关功能的总开关。执行undo dhcp snooping enable命令后,设备上所有DHCP Snooping相关的配置会被删除;再次执行dhcp snooping enable命令使能DHCP Snooping功能后,设备上所有DHCP Snooping相关配置将被恢复为缺省配置。

在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效;在接口下执行该命令,则仅对该接口接收到的所有DHCP报文命令功能生效。

如果设备上同时配置了DHCP Relay以及VRRP功能,则不能使能DHCP Snooping功能。

如果DHCP Server在MUX VLAN的从VLAN侧而DHCP Client在主VLAN侧,则不能使能DHCP Snooping功能。

使用实例

# 使能全局DHCP Snooping功能并配置设备仅处理ipv4报文

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable ipv4

# 使能接口GE1/0/1下的DHCP Snooping功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable

# 使能VLAN100下的DHCP Snooping功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable

# 批量使能VLAN20到VLAN25下的DHCP Snooping功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan batch 20 to 25
[HUAWEI] dhcp snooping enable vlan 20 to 25

dhcp snooping enable no-user-binding

命令功能

dhcp snooping enable no-user-binding命令用来配置在使能DHCP Snooping功能后,接口不生成用户绑定表。

undo dhcp snooping enable no-user-binding命令用来恢复缺省配置。

缺省情况下,在使能DHCP Snooping功能后,接口生成用户绑定表。

命令格式

系统视图:

dhcp snooping enable no-user-binding vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

undo dhcp snooping enable no-user-binding vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

VLAN视图、接口视图:

dhcp snooping enable no-user-binding

undo dhcp snooping enable no-user-binding

参数说明

参数 参数说明 取值
vlan { vlan-id1 [ to vlan-id2 ] }
配置对指定VLAN的用户不生成绑定表。
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。
整数形式,取值范围是1~4094

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在某些场景下,譬如当管理员确定DHCP网络中不存在非法用户,并且其仅希望设备能够记录用户详细的位置信息,那么可使用本命令以取消记录用户绑定表项功能,否则一旦设备上的绑定表项数目达到最大值,新用户将无法上线。

在接口视图下配置,对设备该接口下连接的所有DHCP用户,命令功能生效;在VLAN视图下配置,对设备所有接口下连接的属于该VLAN的DHCP用户,命令功能生效;在系统视图下配置与在VLAN视图配置功能一致,区别在于系统视图下配置可同时对多个VLAN生效。

前置条件

已执行命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

执行本命令后,设备将删除对应VLAN或接口的用户绑定表项。

如果设备上配置了依赖DHCP Snooping绑定表的功能,例如IPSG和DAI,执行本命令后,对应功能会失效。

本命令不能与命令dhcp snooping check dhcp-request enable同时使用,否则可能会造成已在线用户无法下线。

使用实例

# 在系统视图下配置对VLAN10与VLAN20内的用户,设备接口不生成其绑定表项。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable no-user-binding vlan 10 20

# 在VLAN视图下配置对VLAN10内的用户,设备接口不生成其绑定表项。

<HUAWEI> system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] dhcp snooping enable no-user-binding 

# 在接口视图下配置对GE1/0/1下的用户,设备接口不生成其绑定表项。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable no-user-binding

dhcp snooping max-user-number

命令功能

dhcp snooping max-user-number命令用来配置接口允许学习的DHCP Snooping绑定表项的最大个数。

undo dhcp snooping max-user-number命令用来恢复接口允许学习的DHCP Snooping绑定表项的最大个数为缺省值。

缺省情况下,接口允许学习的DHCP Snooping绑定表项的最大个数为32768。

命令格式

系统视图:

dhcp snooping max-user-number max-user-number [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

undo dhcp snooping max-user-number [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]

VLAN视图、接口视图:

dhcp snooping max-user-number max-user-number

undo dhcp snooping max-user-number

参数说明

参数

参数说明

取值

max-user-number

指定接口允许学习的DHCP Snooping绑定表项的最大个数。

整数形式,取值范围是1~32768。

vlan { vlan-id1 [ to vlan-id2 ] }

指定VLAN内允许学习的DHCP Snooping绑定表项的最大个数。
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。
整数形式,取值范围是1~4094

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

通过此命令可配置接口允许学习的DHCP Snooping绑定表项的最大个数,当接口下DHCP Snooping绑定表项数达到本命令配置的最大值时,后续用户将无法接入。

在系统下配置,则设备的所有接口下允许学习的DHCP Snooping绑定表项的最大个数之和为所配置值。在VLAN视图下配置,则加入该VLAN的所有接口下允许学习的DHCP Snooping绑定表项的最大个数为所配置值。如果在系统视图、VLAN视图、接口视图下同时配置,则接口下允许学习的DHCP Snooping绑定表项的最大个数以者的最小值为准。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 配置GE1/0/1接口下最多接入100个DHCP用户。
<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping max-user-number 100

# 配置VLAN100下最多接入100个DHCP用户。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] dhcp snooping max-user-number 100

dhcp snooping over-vpls enable

命令功能

dhcp snooping over-vpls enable命令用来使能设备在VPLS网络中的DHCP Snooping功能。

undo dhcp snooping over-vpls enable命令用来去使能设备在VPLS网络中的DHCP Snooping功能。

缺省情况下,未使能设备在VPLS网络中的DHCP Snooping功能。

命令格式

dhcp snooping over-vpls enable

undo dhcp snooping over-vpls enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

由于VPLS网络中的DHCP报文与普通的DHCP报文有所区别,即使在系统视图下使用命令dhcp snooping enable全局使能了设备的DHCP Snooping功能,在VPLS网络中设备的DHCP Snooping相关功能也无法生效。设备应用于VPLS网络时,为了使DHCP Snooping相关功能生效,需要使用命令dhcp snooping over-vpls enable使能设备在VPLS网络中的DHCP Snooping功能。

一般在靠近用户侧的设备上使能设备在VPLS网络中的DHCP Snooping功能,以控制用户侧进入VPLS网络的DHCP报文。

前置条件

系统视图下,执行命令dhcp enable,全局使能DHCP功能。

注意事项

S系列中的SA单板不支持VPLS网络中的DHCP Snooping功能。

设备的管理接口不支持VPLS网络中的DHCP Snooping功能。

执行命令dhcp snooping over-vpls enable后,在默认CPCAR配置情况下,最大并发用户数量为50。

设备应用于VPLS网络时,除需使用命令dhcp snooping over-vpls enable使能设备在VPLS网络中的DHCP Snooping功能外,其他DHCP Snooping相关命令均没有变化。

使用实例

# 使能设备在VPLS网络中的DHCP Snooping功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping over-vpls enable

dhcp snooping packet-flow log enable

命令功能

dhcp snooping packet-flow log enable命令用来打开DHCP报文交互时记录日志的功能。

undo dhcp snooping packet-flow log enable命令用来关闭DHCP报文交互时记录日志的功能。

缺省情况下,DHCP报文交互时记录日志的功能处于关闭状态。

命令格式

dhcp snooping packet-flow log enable

undo dhcp snooping packet-flow log enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

通过命令dhcp snooping packet-flow log enable,打开DHCP报文交互时记录日志的功能后,设备每次收到DHCP报文都会记录日志DHCP/6/SNP_RCV_MSG。该日志可以用在智能运维等场景中,网络分析器通过该日志对用户IP地址获取问题进行智能分析。

前置任务

已执行命令dhcp snooping enable,打开了设备的DHCP Snooping功能。

使用实例

# 打开DHCP报文交互时记录日志的功能。

<HUAWEI> system-view
[HUAWEI] dhcp snooping packet-flow log enable

dhcp snooping trusted

命令功能

dhcp snooping trusted命令用来配置接口为信任状态。

undo dhcp snooping trusted命令用来恢复接口的状态为非信任状态。

缺省情况下,设备接口为非信任状态。

命令格式

VLAN视图下:

dhcp snooping trusted interface interface-type interface-number

undo dhcp snooping trusted interface interface-type interface-number

接口视图下:

dhcp snooping trusted

undo dhcp snooping trusted

参数说明

参数 参数说明 取值
interface interface-type interface-number 指定VLAN内接口的接口类型和接口编号。
  • interface-type表示接口类型。
  • interface-number表示接口编号。
-

视图

VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将接口设置为信任接口和非信任接口,信任接口正常转发接收到的DHCP报文,非信任接口接收到DHCP服务器响应的DHCP ACK和DHCP OFFER报文后,将丢弃该报文。

直接或间接连接管理员信任的DHCP服务器的接口需要设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。

前置条件

系统视图下,执行命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

通过dhcp snooping trusted命令将设备某接口配置成DHCP信任接口后,设备不会对该端口收到的DHCP报文进行溯源或防攻击处理。

在VLAN视图下执行此命令,则仅对加入该VLAN的接口收到的属于此VLAN的DHCP报文命令功能生效;在接口下执行该命令,则仅对该接口接收到的所有DHCP报文命令功能生效。

建议一个VLAN中不要配置超过15个信任接口。

使用实例

# 配置VLAN100中的GE1/0/1接口状态为信任。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping trusted interface gigabitethernet 1/0/1

# 设置GE1/0/1接口状态为信任。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping trusted

dhcp snooping user-alarm percentage

命令功能

dhcp snooping user-alarm percentage命令用来配置DHCP Snooping绑定表的告警阈值百分比。

undo dhcp snooping user-alarm percentage命令用来取消配置的DHCP Snooping绑定表的告警阈值百分比。

缺省情况下,DHCP Snooping绑定表的下限告警阈值百分比为50,上限告警阈值百分比为100。

命令格式

dhcp snooping user-alarm percentage percent-lower-value percent-upper-value

undo dhcp snooping user-alarm percentage

参数说明

参数 参数说明 取值
percent-lower-value

指定DHCP Snooping绑定表的下限告警阈值百分比。

整数形式,取值范围是1~100。

percent-upper-value

指定DHCP Snooping绑定表的上限告警阈值百分比。

整数形式,取值范围是1~100,但必须大于或等于下限告警阈值。

视图

系统视图

缺省级别

2:配置级

使用指南

执行命令dhcp snooping max-user-number配置接口允许学习的DHCP Snooping绑定表项的最大个数后,可以使用命令dhcp snooping user-alarm percentage配置DHCP Snooping绑定表的告警阈值百分比。

当实际学习到的DHCP Snooping绑定表项数占设备允许学习的最大表项数比例的等于或高于上限告警阈值百分比时,设备将会发出告警。之后,如果该比例又等于或小于下限告警阈值百分比,设备会再次发出告警。

使用实例

# 配置DHCP Snooping绑定表的下限阈值百分数为30,上限阈值百分数为80。

<HUAWEI> system-view
[HUAWEI] dhcp snooping user-alarm percentage 30 80

dhcp snooping user-bind autosave

命令功能

dhcp snooping user-bind autosave命令用来使能DHCP Snooping绑定表的本地自动备份功能。

undo dhcp snooping user-bind autosave命令用来去使能DHCP Snooping绑定表的本地自动备份功能。

缺省情况下,未使能DHCP Snooping绑定表的本地自动备份功能。

命令格式

dhcp snooping user-bind autosave file-name [ write-delay delay-time ]

undo dhcp snooping user-bind autosave

参数说明

参数 参数说明 取值
file-name 指定DHCP Snooping绑定表自动备份的文件路径及文件名,必须同时输入当前设备支持的文件路径和文件名。 字符串形式,不支持空格,区分大小写,长度范围是1~51。
write-delay delay-time

指定DHCP Snooping绑定表自动备份周期。

若不选择该参数,则备份周期为缺省值。

整数形式,取值范围是60~4294967295,单位为秒。缺省值是3600秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备在生成了DHCP用户的DHCP Snooping绑定表项时,若要重启设备且不希望绑定表项丢失,可使用命令dhcp snooping user-bind autosave使能DHCP Snooping绑定表的本地自动备份功能。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

备份的绑定表文件的后缀名必须是.tbl。

修改系统时间后,若设备在1小时内即将重新启动,此时由于设备仍未到达自动更新绑定表项备份的时间,则需要再次使用该命令以立刻备份最新的绑定表项。否则在设备重启后,绑定表恢复后的租期与当前系统时间可能不一致。

DHCP Snooping绑定表在备份后,如果设备断电并在超过DHCP Snooping绑定表租期的时间后才重新启动,则DHCP Snooping绑定表信息恢复不成功。

DHCP Snooping绑定表项为备份到各自所在的接口板上而不是备份到主控板上。

使用实例

# 配置在flash下自动备份绑定表,文件名是backup.tbl,自动备份周期5000秒

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping user-bind autosave flash:/backup.tbl write-delay 5000

dhcp snooping user-bind ftp

命令功能

dhcp snooping user-bind ftp命令用来使能DHCP Snooping绑定表在远端FTP服务器上的自动备份功能。

undo dhcp snooping user-bind ftp命令用来去使能DHCP Snooping绑定表在远端FTP服务器上的自动备份功能。

缺省情况下,未使能DHCP Snooping绑定表在远端FTP服务器上的自动备份功能。

命令格式

dhcp snooping user-bind ftp remotefilename filename host-ip ip-address username username password password [ write-delay delay-time ]

undo dhcp snooping user-bind ftp

参数说明

参数 参数说明 取值
remotefilename filename

指定DHCP Snooping绑定表备份到FTP服务器上的文件名称。

字符串形式,区分大小写,长度范围是1~64,不支持空格且不支持字符 ~ * \ | : " ? < >。

host-ip ip-address

指定FTP服务器的IP地址。

点分十进制形式。

username username

指定连接FTP服务器时使用的用户名。

字符串形式,不支持空格,区分大小写,长度范围是1~64。

password password

指定连接FTP服务器时使用的密码。

字符串形式,不支持空格,区分大小写,可以是48位的密文形式;也可以是长度范围是1~16的明文形式。

说明:

为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密码长度不小于6个字符。

write-delay delay-time

指定DHCP Snooping绑定表自动备份周期。

若不选择该参数,则备份周期为缺省值。

整数形式,取值范围是300~4294967295。单位秒。

缺省情况下,系统每隔一小时自动备份一次DHCP Snooping绑定表项。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备在生成了DHCP用户的DHCP Snooping绑定表项时,若要重启设备且不希望绑定表项丢失,可使用命令dhcp snooping user-bind ftp配置将DHCP Snooping绑定表自动备份到远端FTP服务器上。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

使用FTP协议存在安全风险,建议通过命令dhcp snooping user-bind sftp采用SFTP方式进行文件操作。

使用实例

# 配置将DHCP Snooping绑定表备份到IP地址为10.137.12.10的FTP服务器上。其中备份文件名是backup,FTP用户名是huawei、密码是Huawei@123。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping user-bind ftp remotefilename backup host-ip 10.137.12.10 username huawei password Huawei@123

dhcp snooping user-bind ftp load

命令功能

dhcp snooping user-bind ftp load命令用来配置从远端FTP服务器上获取并恢复已备份的DHCP Snooping绑定表项。

命令格式

dhcp snooping user-bind ftp load remotefilename filename host-ip ip-address username username password password

参数说明

参数 参数说明 取值
remotefilename filename

指定需要获取的DHCP Snooping绑定表文件的名称。

字符串形式,长度范围是1~64,不支持空格且不支持字符 ~ * \ | : " ? < >。

host-ip ip-address

指定远端FTP服务器的IP地址。

点分十进制形式。

username username

指定连接FTP服务器时使用的用户名。

字符串形式,不支持空格,长度范围是1~64。

password password

指定连接FTP服务器时使用的密码。

字符串形式,不支持空格,可以是48位的密文形式;也可以是长度范围是1~16的明文形式。

说明:

为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密码长度不小于6个字符。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在使用命令dhcp snooping user-bind ftp使能DHCP Snooping绑定表在远端FTP服务器上的自动备份功能后,可使用该命令从远端FTP服务器上获取并恢复已备份的DHCP Snooping绑定表项。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

使用FTP协议存在安全风险,建议通过命令dhcp snooping user-bind sftp load采用SFTP方式进行文件操作。

使用实例

# 从IP地址为10.137.12.10的FTP服务器上获取并恢复已备份的文件名为“backup”的DHCP Snooping绑定表项。其中FTP用户名为huawei,密码为Huawei@123。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping user-bind ftp load remotefilename backup host-ip 10.137.12.10 username huawei password Huawei@123
Warning: FTP is not a secure protocol, and it is recommended to use SFTP.  
Info: Downloading the file from the remote FTP server. Please wait...done. 
 Total number of dynamic binding table in remote file: 30 
 Recovering dynamic binding table, please wait for a moment....
 10 successful, 20 failed.
 Binding Collisions         :    20     Exceeds max limits     :     0
 Invalid interfaces         :     0     Invalid vlans          :     0
 Invalid snp configurations :     0     Expired leases         :     0            
 Parse failures             :     0
表14-66  dhcp snooping user-bind ftp load命令输出信息描述

项目

描述

Total number of dynamic binding table in remote file 远端服务器文件上备份的DHCP Snooping绑定表数目。
m successful, n failed 恢复成功的绑定表数目为m,恢复失败的绑定表数目为n
Binding Collisions 由于远端和本地表项冲突而导致恢复失败的DHCP Snooping绑定表数目。
Exceeds max limits 由于本地绑定表规格达到上限而导致恢复失败的DHCP Snooping绑定表数目。
Invalid interfaces 由于本地设备的接口无效(譬如接口状态DOWN),而导致恢复失败的DHCP Snooping绑定表数目。
Invalid vlans 由于本地设备的VLAN无效(譬如VLAN已不存在),而导致恢复失败的DHCP Snooping绑定表数目。
Invalid snp configurations 由于DHCP Snooping功能未使能而导致恢复失败的DHCP Snooping绑定表数目。
Expired leases 由于绑定表租期过期而导致恢复失败的DHCP Snooping绑定表数目。
Parse failures 由于设备解析绑定表文件失败而导致恢复失败的DHCP Snooping绑定表数目。

dhcp snooping user-bind http

命令功能

dhcp snooping user-bind http命令用来使能DHCP Snooping绑定表在远端HTTP服务器上的自动备份功能。

undo dhcp snooping user-bind http命令用来去使能DHCP Snooping绑定表在远端HTTP服务器上的自动备份功能。

缺省情况下,未使能DHCP Snooping绑定表在远端HTTP服务器上的自动备份功能。

说明:

仅V200R013C00SPC500版本支持该命令。

命令格式

dhcp snooping user-bind http { remotefilename filename host-ip ip-address [ port port-number ] | url url-string } [ username username password password ] [ write-delay delay-time ]

undo dhcp snooping user-bind http

参数说明

参数 参数说明 取值
remotefilename filename

指定DHCP Snooping绑定表备份到HTTP服务器上的文件名称。

字符串形式,区分大小写,长度范围是1~64,不支持空格且不支持字符 ~ * \ | : " ? < >。

host-ip ip-address

指定HTTP服务器的IP地址。

点分十进制形式。

port port-number

指定HTTP服务器的端口号。

整数形式,取值范围是1~65535。

url url-string

指定HTTP服务器的URL,格式为http://server_location/file_location,例如http://10.1.1.1:70/32768snp.txt。

字符串形式,不支持空格,区分大小写,长度范围是1~200。

username username

指定连接HTTP服务器时使用的用户名。

字符串形式,不支持空格,区分大小写,长度范围是1~64。

password password

指定连接HTTP服务器时使用的密码。

字符串形式,不支持空格,区分大小写,可以是48位的密文形式;也可以是长度范围是1~16的明文形式。

说明:

为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密码长度不小于6个字符。

write-delay delay-time

指定DHCP Snooping绑定表自动备份周期。

若不选择该参数,则备份周期为缺省值。

整数形式,取值范围是300~4294967295。单位秒。

缺省情况下,系统每隔一小时自动备份一次DHCP Snooping绑定表项。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备在生成了DHCP用户的DHCP Snooping绑定表项时,若要重启设备且不希望绑定表项丢失,可使用命令dhcp snooping user-bind http配置将DHCP Snooping绑定表自动备份到远端HTTP服务器上。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

使用HTTP协议存在安全风险,建议通过命令dhcp snooping user-bind sftp采用SFTP方式进行文件操作。

使用实例

# 配置将DHCP Snooping绑定表备份到IP地址为10.1.1.1的HTTP服务器上。其中备份文件名是backup,HTTP用户名是huawei、密码是Huawei@123。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping user-bind http remotefilename backup host-ip 10.1.1.1 username huawei password Huawei@123

dhcp snooping user-bind http load

命令功能

dhcp snooping user-bind http load命令用来配置从远端HTTP服务器上获取并恢复已备份的DHCP Snooping绑定表项。

说明:

仅V200R013C00SPC500版本支持该命令。

命令格式

dhcp snooping user-bind http load { remotefilename filename host-ip ip-address [ port port-number ] | url url-string } [ username username password password ]

参数说明

参数 参数说明 取值
remotefilename filename

指定DHCP Snooping绑定表备份到HTTP服务器上的文件名称。

字符串形式,区分大小写,长度范围是1~64,不支持空格且不支持字符 ~ * \ | : " ? < >。

host-ip ip-address

指定HTTP服务器的IP地址。

点分十进制形式。

port port-number

指定HTTP服务器的端口号。

整数形式,取值范围是1~65535。

url url-string

指定HTTP服务器的URL,格式为http://server_location/file_location,例如http://10.1.1.1:70/32768snp.txt。

字符串形式,不支持空格,区分大小写,长度范围是1~200。

username username

指定连接HTTP服务器时使用的用户名。

字符串形式,不支持空格,区分大小写,长度范围是1~64。

password password

指定连接HTTP服务器时使用的密码。

字符串形式,不支持空格,区分大小写,可以是48位的密文形式;也可以是长度范围是1~16的明文形式。

说明:

为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密码长度不小于6个字符。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在使用命令dhcp snooping user-bind http使能DHCP Snooping绑定表在远端HTTP服务器上的自动备份功能后,可使用该命令从远端HTTP服务器上获取并恢复已备份的DHCP Snooping绑定表项。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

使用HTTP协议存在安全风险,建议通过命令dhcp snooping user-bind sftp采用SFTP方式进行文件操作。

使用实例

# 从IP地址为10.1.1.1的HTTP服务器上获取并恢复已备份的文件名为“backup”的DHCP Snooping绑定表项。其中HTTP用户名为huawei,密码为Huawei@123。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping user-bind http load remotefilename backup host-ip 10.1.1.1 username huawei password Huawei@123
Info: Downloading the file from the remote HTTP server. Please wait...done.
 Total number of dynamic binding table in remote file: 10
 Recovering dynamic binding table, please wait for a moment....
 10 successful, 0 failed.
 Binding Collisions    :     0     Exceeds max limit    :     0
 Invalid interfaces    :     0     Invalid vlan         :     0
 Snooping not enable   :     0     Lease expired        :     0
 Parse failures        :     0
表14-67  dhcp snooping user-bind http load命令输出信息描述

项目

描述

Total number of dynamic binding table in remote file 远端服务器文件上备份的DHCP Snooping绑定表数目。
m successful, n failed 恢复成功的绑定表数目为m,恢复失败的绑定表数目为n
Binding Collisions 由于远端和本地表项冲突而导致恢复失败的DHCP Snooping绑定表数目。
Exceeds max limit 由于本地绑定表规格达到上限而导致恢复失败的DHCP Snooping绑定表数目。
Invalid interfaces 由于本地设备的接口无效(譬如接口状态DOWN),而导致恢复失败的DHCP Snooping绑定表数目。
Invalid vlan 由于本地设备的VLAN无效(譬如VLAN已不存在),而导致恢复失败的DHCP Snooping绑定表数目。
Snooping not enable 由于DHCP Snooping功能未使能而导致恢复失败的DHCP Snooping绑定表数目。
Lease expired 由于绑定表租期过期而导致恢复失败的DHCP Snooping绑定表数目。
Parse failures 由于设备解析绑定表文件失败而导致恢复失败的DHCP Snooping绑定表数目。

dhcp snooping user-bind sftp

命令功能

dhcp snooping user-bind sftp命令用来使能DHCP Snooping绑定表在远端SFTP服务器上的自动备份功能。

undo dhcp snooping user-bind sftp命令用来去使能DHCP Snooping绑定表在远端SFTP服务器上的自动备份功能。

缺省情况下,未使能DHCP Snooping绑定表在远端SFTP服务器上的自动备份功能。

命令格式

dhcp snooping user-bind sftp remotefilename filename host-ip ip-address username username password password [ write-delay delay-time ]

undo dhcp snooping user-bind sftp

参数说明

参数 参数说明 取值
remotefilename filename

指定DHCP Snooping绑定表备份到SFTP服务器上的文件名称。

字符串形式,长度范围是1~64,不支持空格且不支持字符 ~ * \ | : " ? < >。

host-ip ip-address

指定SFTP服务器的IP地址。

点分十进制形式。

username username

指定连接SFTP服务器时使用的用户名。

字符串形式,不支持空格,区分大小写,长度范围是1~64。

password password

指定连接SFTP服务器时使用的密码。

字符串形式,不支持空格,区分大小写,可以是48位的密文形式;也可以是长度范围是1~16的明文形式。

说明:

为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密码长度不小于6个字符。

write-delay delay-time

指定DHCP Snooping绑定表自动备份周期。

若不选择该参数,则备份周期为缺省值。

整数形式,取值范围是300~4294967295。单位秒。

缺省情况下,系统每隔一小时自动备份一次DHCP Snooping绑定表项。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备在生成了DHCP用户的DHCP Snooping绑定表项时,若要重启设备且不希望绑定表项丢失,可使用命令dhcp snooping user-bind sftp配置将DHCP Snooping绑定表自动备份到远端SFTP服务器上。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

备份的绑定表文件的后缀名必须是.tbl。

使用实例

# 配置将DHCP Snooping绑定表备份到IP地址为10.137.12.10的SFTP服务器上。其中备份文件名是backup,SFTP用户名是huawei、密码是Huawei@123。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping user-bind sftp remotefilename backup host-ip 10.137.12.10 username huawei password Huawei@123

dhcp snooping user-bind sftp load

命令功能

dhcp snooping user-bind sftp load命令用来配置从远端SFTP服务器上获取并恢复已备份的DHCP Snooping绑定表项。

命令格式

dhcp snooping user-bind sftp load remotefilename filename host-ip ip-address username username password password

参数说明

参数 参数说明 取值
remotefilename filename

指定需要获取的DHCP Snooping绑定表文件的名称。

字符串形式,长度范围是1~64,不支持空格且不支持字符 ~ * \ | : " ? < >。

host-ip ip-address

指定远端SFTP服务器的IP地址。

点分十进制形式。

username username

指定连接SFTP服务器时使用的用户名。

字符串形式,不支持空格,长度范围是1~64。

password password

指定连接SFTP服务器时使用的密码。

字符串形式,不支持空格,可以是48位的密文密码;也可以是长度范围是1~16的明文形式。

说明:

为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密码长度不小于6个字符。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在使用命令dhcp snooping user-bind sftp使能DHCP Snooping绑定表在远端SFTP服务器上的自动备份功能后,可使用该命令从远端SFTP服务器上获取并恢复已备份的DHCP Snooping绑定表项。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 从IP地址为10.137.12.10的SFTP服务器上获取并恢复已备份的文件名为“backup”的DHCP Snooping绑定表项。其中SFTP用户名为huawei,密码为Huawei@123。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping user-bind sftp load remotefilename backup host-ip 10.137.12.10 username huawei password Huawei@123
Info: Downloading the file from the remote SFTP server. Please wait...done.   
 Total number of dynamic binding table in remote file: 30 
 Recovering dynamic binding table, please wait for a moment....
 10 successful, 20 failed.
 Binding Collisions         :    20     Exceeds max limits     :     0
 Invalid interfaces         :     0     Invalid vlans          :     0
 Invalid snp configurations :     0     Expired leases         :     0            
 Parse failures             :     0
表14-68  dhcp snooping user-bind sftp load命令输出信息描述

项目

描述

Total number of dynamic binding table in remote file 远端服务器文件上备份的DHCP Snooping绑定表数目。
m successful, n failed 恢复成功的绑定表数目为m,恢复失败的绑定表数目为n
Binding Collisions 由于远端和本地表项冲突而导致恢复失败的DHCP Snooping绑定表数目。
Exceeds max limits 由于本地绑定表规格达到上限而导致恢复失败的DHCP Snooping绑定表数目。
Invalid interfaces 由于本地设备的接口无效(譬如接口状态DOWN),而导致恢复失败的DHCP Snooping绑定表数目。
Invalid vlans 由于本地设备的VLAN无效(譬如VLAN已不存在),而导致恢复失败的DHCP Snooping绑定表数目。
Invalid snp configurations 由于DHCP Snooping功能未使能而导致恢复失败的DHCP Snooping绑定表数目。
Expired leases 由于绑定表租期过期而导致恢复失败的DHCP Snooping绑定表数目。
Parse failures 由于设备解析绑定表文件失败而导致恢复失败的DHCP Snooping绑定表数目。

dhcp snooping user-bind tftp

命令功能

dhcp snooping user-bind tftp命令用来使能DHCP Snooping绑定表在远端tftp服务器上的自动备份功能。

undo dhcp snooping user-bind tftp命令用来去使能DHCP Snooping绑定表在远端tftp服务器上的自动备份功能。

缺省情况下,未使能DHCP Snooping绑定表在远端tftp服务器上的自动备份功能。

命令格式

dhcp snooping user-bind tftp remotefilename filename host-ip ip-address [ write-delay delay-time ]

undo dhcp snooping user-bind tftp

参数说明

参数 参数说明 取值
remotefilename filename

指定DHCP Snooping绑定表备份到tftp服务器上的文件名称。

字符串形式,区分大小写,长度范围是1~64,不支持空格且不支持字符 ~ * \ | : " ? < >。

host-ip ip-address

指定tftp服务器的IP地址。

点分十进制形式。

write-delay delay-time

指定DHCP Snooping绑定表自动备份周期。

若不选择该参数,则备份周期为缺省值。

整数形式,取值范围是300~4294967295。单位秒。

缺省值是3600秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备在生成了DHCP用户的DHCP Snooping绑定表项时,若要重启设备且不希望绑定表项丢失,可使用命令dhcp snooping user-bind tftp配置将DHCP Snooping绑定表自动备份到远端tftp服务器上。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

使用TFTP协议存在安全风险,建议通过命令dhcp snooping user-bind sftp采用SFTP方式进行文件操作。

使用实例

# 配置将DHCP Snooping绑定表备份到IP地址为10.137.12.10的tftp服务器上。其中备份文件名是backup,自动备份周期为5000秒。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping user-bind tftp remotefilename backup host-ip 10.137.12.10 write-delay 5000

dhcp snooping user-bind tftp load

命令功能

dhcp snooping user-bind tftp load命令用来配置从远端tftp服务器上获取并恢复已备份的DHCP Snooping绑定表项。

命令格式

dhcp snooping user-bind tftp load remotefilename filename host-ip ip-address

参数说明

参数 参数说明 取值
remotefilename filename

指定需要获取的DHCP Snooping绑定表文件的名称。

字符串形式,长度范围是1~64,不支持空格且不支持字符 ~ * \ | : " ? < >。

host-ip ip-address

指定远端服务器的IP地址。

点分十进制形式。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在使用命令dhcp snooping user-bind tftp使能DHCP Snooping绑定表在远端tftp服务器上的自动备份功能后,可使用该命令从远端tftp服务器上获取并恢复已备份的DHCP Snooping绑定表项。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

使用TFTP协议存在安全风险,建议通过命令dhcp snooping user-bind sftp load采用SFTP方式进行文件操作。

使用实例

# 从IP地址为10.137.12.10的tftp服务器上获取并恢复已备份的文件名为“backup”的DHCP Snooping绑定表项。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping user-bind tftp load remotefilename backup host-ip 10.137.12.10 
Info: Transfer file in binary mode.
Downloading the file from the remote TFTP server. Please wait...
100%
TFTP: Downloading the file successfully.
656 byte(s) received in 1 second(s).
 Total number of dynamic binding table in remote file: 20 
 Recovering dynamic binding table, please wait for a moment....
 10 successful, 10 failed.
 Binding Collisions         :    10     Exceeds max limit    :     0
 Invalid interfaces         :     0     Invalid vlan         :     0
 Invalid snp configurations :     0     Expired leases       :     0            
 Parse failures             :     0
表14-69  dhcp snooping user-bind tftp load命令输出信息描述

项目

描述

Total number of dynamic binding table in remote file 远端服务器文件上备份的DHCP Snooping绑定表数目。
Binding Collisions 由于远端和本地表项冲突而导致恢复失败的DHCP Snooping绑定表数目。
Exceeds max limit 由于本地绑定表规格达到上限而导致恢复失败的DHCP Snooping绑定表数目。
Invalid interfaces 由于本地设备的接口无效(譬如接口状态DOWN),而导致恢复失败的DHCP Snooping绑定表数目。
Invalid vlan 由于本地设备的VLAN无效(譬如VLAN已不存在),而导致恢复失败的DHCP Snooping绑定表数目。
Invalid snp configurations 由于DHCP Snooping功能未使能而导致恢复失败的DHCP Snooping绑定表数目。
Expired leases 由于绑定表租期过期而导致恢复失败的DHCP Snooping绑定表数目。
Parse failures 由于设备解析绑定表文件失败而导致恢复失败的DHCP Snooping绑定表数目。

dhcp snooping user-offline remove mac-address

命令功能

dhcp snooping user-offline remove mac-address命令用来使能当DHCP snooping表项清除时移除对应用户的MAC表项功能。

undo dhcp snooping user-offline remove mac-address命令用来去使能当DHCP snooping表项清除时移除对应用户的MAC表项功能。

缺省情况下,未使能当DHCP snooping表项清除时移除对应用户的MAC表项功能。

命令格式

dhcp snooping user-offline remove mac-address

undo dhcp snooping user-offline remove mac-address

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在某一用户下线后,若设备上该用户对应的动态MAC表项没有达到老化时间,则设备在接收到来自网络侧以该用户IP地址为目的地址的报文时,将继续根据动态MAC表项处理此报文。在执行命令dhcp snooping user-offline remove mac-address之后,当DHCP Snooping表项清除时将移除对应的用户MAC表项,同时配合在网络侧接口配置的未知单播报文丢弃功能,设备将丢弃目的IP地址为已经下线用户的报文。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 使能当DHCP Snooping表项清除时移除对应用户的MAC表项功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping user-offline remove mac-address

dhcp snooping user-transfer enable

命令功能

dhcp snooping user-transfer enable命令用来使能DHCP Snooping用户位置迁移功能。

undo dhcp snooping user-transfer enable命令用来去使能DHCP Snooping用户位置迁移功能。

缺省情况下,已使能DHCP Snooping用户位置迁移功能。

命令格式

dhcp snooping user-transfer enable

undo dhcp snooping user-transfer enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在移动应用场景中,若某一用户由接口A上线后,切换到接口B重新上线,用户将发送DHCP Discover报文申请IP地址。缺省情况下设备使能DHCP Snooping功能之后将允许该用户上线,并刷新DHCP Snooping绑定表。但是在某些场景中,这样的处理方式存在安全风险,比如网络中存在攻击者仿冒合法用户发送DHCP Discover报文,最终导致DHCP Snooping绑定表被刷新,合法用户网络访问中断。此时需要去使能DHCP Snooping用户位置迁移功能,丢弃DHCP Snooping绑定表中已存在的用户(用户MAC信息存在于DHCP Snooping绑定表中)从其他接口发送来的DHCP Discover报文。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

使用实例

# 配置dhcp snooping禁止用户位置迁移。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] undo dhcp snooping user-transfer enable

dhcpv6 interface-id format

命令功能

dhcpv6 interface-id format命令用来配置DHCPv6报文中Interface-ID选项的格式。

undo dhcpv6 interface-id format命令用来恢复DHCPv6报文中Interface-ID选项的格式为缺省格式。

缺省情况下,DHCPv6报文中Interface-ID选项的格式为default

命令格式

dhcpv6 interface-id format { default | user-defined text }

undo dhcpv6 interface-id format

参数说明

参数 参数说明 取值
default

指定Interface-ID选项为缺省格式。

Interface-ID选项的缺省格式为"%04svlan.%04cvlan.%mac:%portname"。其中,svlan和cvlan的取值为整数形式,长度为4个字符,如果不足该长度在前面补0。例如设备接收DHCPv6报文的外层VLAN为11,内层VLAN为22,入接口为VLANIF100,设备的MAC地址为6afe-870b-0000,则系统解析时生成的Interface-ID选项为0011.0022.6afe870b0000:vlanif100。

-
user-defined text
指定Interface-ID选项格式为用户自定义格式,用户自定义格式可以为:
  • 关键字定义方式:根据自定义格式支持的关键字进行配置,例如当需要记录用户所连接的设备名称、用户所属的外层VLAN时,可自定义格式为:"%sysname %svlan"。如果用户所连接的设备名称为HUAWEI、所属svlan为100,则Interface-ID记录的用户位置信息为"HUAWEI 100"。

    自定义选项格式支持的关键字及其含义如表14-70所示。

  • 普通字符串定义方式:直接将Interface-ID选项定义为某一字符串,例如当接口下的用户全部位于名称为N8的办公大楼内,则可直接定义Interface-ID选项内容为"N8"。

  • 混合定义方式:Interface-ID选项格式由关键字与普通字符共同定义,例如"%sysname N8"。

字符串形式,区分大小写,支持空格。不包含引号时,长度范围是1~251。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

Interface-ID选项可以记录设备接收来自客户端的DHCPv6请求报文的入接口等用户接入信息。设备作为DHCPv6中继或轻量级DHCPv6中继LDRA(Lightweight DHCPv6 Relay Agent),当接收到DHCPv6客户端的请求报文并向DHCPv6服务器转发报文时,可以通过在报文中插入Interface-ID选项来标识DHCPv6客户端的位置信息,这些信息作为DHCPv6服务器分配IPv6地址和网络参数的依据。通过执行命令dhcpv6 interface-id format可以配置DHCPv6报文中插入的Interface-ID选项的格式。

表14-70  自定义选项格式支持的关键字及其含义

关键字

含义

duid

客户端的身份标识,包含客户端MAC地址等信息

sysname

客户端的设备名称

portname

设备接收客户端发送的DHCPv6报文的入接口名称

porttype

设备接收客户端发送的DHCPv6报文的入接口类型,在某些场景下配置NAS接口时指定的接口类型

iftype

设备接收客户端发送的DHCPv6报文的入接口类型,一般指GE等接口类型

mac

设备的MAC地址

slot

设备接收客户端发送的DHCPv6报文的槽位号

subslot

设备接收客户端发送的DHCPv6报文的子槽位号

port

设备接收客户端发送的DHCPv6报文的接口号

svlan

客户端发送的DHCPv6报文的外层VLAN

cvlan

客户端发送的DHCPv6报文的内层VLAN

length

length关键字后面内容的总长度,不包括length关键字的长度

前置条件

执行本命令前,需要执行dhcp enable命令使能全局下的DHCP功能。

注意事项

  • 自定义选项格式内容必须在双引号""之内。例如,需要配置自定义格式内容为mac,则执行命令dhcpv6 interface-id format user-defined "%mac"

  • 自定义选项格式的关键字之间必须存在非数字的分隔符,不然会出现无法解析的情况。

  • 自定义选项格式的关键字之前必须加上"%"才能和普通字符串进行区分;如果"%"与关键字之前存在数字,该数字表明关键字占用的字符数。

  • 自定义选项内容以ASCII格式进行封装,除上述注意事项外,还需注意以下规则:

    • \表示转义字符,\后面的特殊字符%\[]表示字符本身。比如\\表示字符\。
    • ASCII格式字符串中可以允许的字符包含阿拉伯数字、大写英文字母、小写英文字母以及符号!@#$%^&*()_+|-=\[]{};:'"/?.,<>`。
    • 在ASCII格式字符串中,各关键字默认长度取实际长度。

使用实例

# 配置在DHCPv6报文中的Interface-ID的格式为自定义格式,封装内容为设备的MAC地址。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcpv6 interface-id format user-defined "%mac"

dhcpv6 option18 format

命令功能

dhcpv6 option18 format命令用来配置在DHCPv6报文中添加的Option18选项的格式。

undo dhcpv6 option18 format命令用来删除在DHCPv6报文中添加的Option18选项的格式。

缺省情况下,未配置在DHCPv6报文中添加的Option18选项的格式。

命令格式

dhcpv6 option18 [ vlan vlan-id ] [ ce-vlan ce-vlan-id ] format user-defined text

undo dhcpv6 option18 { [ vlan vlan-id ] [ ce-vlan ce-vlan-id ] format | format all }

参数说明

参数 参数说明 取值
user-defined text

指定Option18选项格式为用户自定义格式。

字符串形式,长度范围是1~251。

用户自定义格式字符串的具体要求请见下面“使用指南”中的描述。

vlan vlan-id

指定外层VLAN的编号。

说明:
  • 若指定VLAN,则仅会配置属于该VLAN的DHCPv6报文中的Option18选项的格式;若不指定VLAN,则会配置接口收到的所有DHCPv6报文中的Option18选项的格式。
  • 当接口和其所属VLAN均配置了添加的Option18选项的格式时,接口下的配置优先。
  • VLAN视图不支持该参数。
整数形式,取值范围是1~4094
ce-vlan ce-vlan-id 指定内层VLAN编号。
说明:
VLAN视图不支持该参数。
整数形式,取值范围是1~4094
all 删除所有Option18选项的格式。 -

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

使用命令dhcpv6 option18 { insert | rebuild } enable,使能在DHCPv6报文中添加Option18选项功能后,可根据情况通过命令dhcpv6 option18 format配置添加的Option18选项的格式。

用户自定义Option18的格式时,可以使用如下的关键字。格式化字符串可以定义为HEX封装的格式、ASCII封装的格式或者HEX和ASCII混合的封装格式。
  • sysname:接入点标识。只允许出现在ASCII格式中。
  • portname:接口名。如GE1/0/1,只允许出现在ASCII格式中。
  • porttype:接口类型。允许定义在字符串格式和HEX格式中。比如定义在ASCII格式中封装内容为Ethernet,而定义在HEX格式中封装内容为15。
  • iftype:接口类型。包括eth、trunk,只允许出现在ASCII格式中。
  • mac:接口MAC地址。在ASCII格式中是H-H-H形式,在HEX中则用6字节按顺序封装。
  • slot:槽号。允许定义在ASCII格式和HEX格式中。
  • subslot:子槽号。允许定义在ASCII格式和HEX格式中。
  • port:端口号。允许定义在ASCII格式和HEX格式中。
  • svlan:外层vlan,取值范围1~4094,如果没有默认填0。允许定义在ASCII格式和HEX格式中。
  • cvlan:内层vlan,取值范围1~4094,如果没有默认填0。允许定义在ASCII格式和HEX格式中。
  • length:length关键字后面内容的总长度,不包括length关键字的长度。
  • n:n在关键字svlan、cvlan的前面表示外层VLAN或内层VLAN不存在时的取值。VLAN不存在时,在ASCII中默认取4096,HEX中默认取全F。如果前面加n表示取0。允许定义在ASCII格式和HEX格式中。
说明:

关键字之间应该要有分隔符,否则会出现无法解析的情况。所以约定:任意两个关键字之间必须要有非数字的分隔符。

特殊含义字符的解释如下:
  • %+关键字表示格式化的格式。
  • %+数字+关键字中的数字表示格式化的长度。在ASCII格式字符串中,"%05"与C语言中"%05d"意思一样。在HEX格式字符串中,该数字表明封装时后面关键字占用多少bit。
  • []表示可选项,其中只能有一个关键字,且为svlan、cvlan之一。该关键字存在即可封装,并且该符号不允许嵌套。
  • \表示转义字符,\后面的特殊字符表示字符本身。比如\\表示字符\。
  • ""表示双引号中的内容使用ASCII格式进行封装。没有双引号或者双引号之外的内容使用HEX进行封装。
  • 其他的符号都作为普通字符处理。ASCII格式和HEX格式封装时的规则如下:
    • ASCII格式字符串中可以允许的字符包含阿拉伯数字、大写英文字母、小写英文字母、以及这些符号:!@#$%^&*()_+|-=\[]{};:'"/?.,<>`。
    • 在ASCII格式字符串中,各关键字默认长度取实际长度。
    • HEX格式字符串中允许出现数字、空格、%+关键字。
    • HEX格式字符串中,数字将直接以16进制形式封装进Option18中。0~255之间的数字占用一个字节;256~65535之间的数字占用2个字节;65536~4294967295之间的数字占用4个字节。不支持更大的数字。如果需要封装多个连续的数字,各数字之间以空格分开。
    • 封装HEX格式时,将忽略HEX格式字符串中所有空格。
    • 在HEX格式字符串中,槽号、子槽号、端口号、vlan关键字默认占用2个字节。length默认占用1个字节。
    • 在HEX格式字符中,如果指定了各关键字位宽,HEX格式总位宽必须是8的整数倍。如果指定的关键字位宽超过32位,则低32位封装实际的值,其他部分填0。
    • 只允许数字型关键字出现在HEX封装中,比如接口名不能以HEX封装。
    • 如果格式字符串未加双引号,则默认封装格式是HEX。如果需要封装ASCII格式,将配置的格式放入""中。比如槽号是3,端口号是4,格式%slot %port的封装结果是16进制的00030004;而格式"%slot %port"封装的结果是3 4。
    • 支持HEX与ASCII的混合配置,比如配置格式为%slot %port "%sysname %portname:%svlan.%cvlan"是允许的。

使用实例

# 在VLAN10下配置DHCPv6报文中添加的Option18选项的格式。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 10
[HUAWEI-vlan10] dhcpv6 option18 format user-defined "%length %svlan %5slot %3subslot %8port"

# 在接口GE1/0/1下配置DHCPv6报文中添加的Option18选项的格式。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcpv6 option18 format user-defined "%length %svlan %5slot %3subslot %8port"

dhcpv6 option37 format

命令功能

dhcpv6 option37 format命令用来配置在DHCPv6报文中添加的Option37选项的格式。

undo dhcpv6 option37 format命令用来删除在DHCPv6报文中添加的Option37选项的格式。

缺省情况下,未配置在DHCPv6报文中添加的Option37选项的格式。

命令格式

dhcpv6 option37 [ vlan vlan-id ] [ ce-vlan ce-vlan-id ] format user-defined text

undo dhcpv6 option37 { [ vlan vlan-id ] [ ce-vlan ce-vlan-id ] format | format all }

参数说明

参数 参数说明 取值
user-defined text

指定用户自定义的Option37选项格式。

字符串形式,长度范围是1~247。

用户自定义格式字符串的具体要求请见下面“使用指南”中的描述。

vlan vlan-id

指定外层VLAN的编号。

说明:
  • 若指定VLAN,则仅会配置属于该VLAN的DHCPv6报文中的Option37选项的格式;若不指定VLAN,则会配置接口收到的所有DHCPv6报文中的Option37选项的格式。
  • 当接口和其所属VLAN均配置了添加的Option37选项的格式时,接口下的配置优先。
  • VLAN视图不支持该参数。

整数形式,取值范围是1~4094。

ce-vlan ce-vlan-id
指定内层VLAN编号。
说明:
VLAN视图不支持该参数。

整数形式,取值范围是1~4094。

all

删除所有Option37选项的格式。

-

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

使用命令dhcpv6 option37 { insert | rebuild } enable使能在DHCPv6报文中添加Option37选项功能后,可根据情况通过命令dhcpv6 option37 format配置添加的Option37选项的格式。

用户自定义Option37的格式时,可以使用如下的关键字。格式化字符串可以定义为HEX封装的格式、ASCII封装的格式或者HEX和ASCII混合的封装格式。
  • sysname:接入点标识。只允许出现在ASCII格式中。
  • portname:接口名。如GE1/0/1,只允许出现在ASCII格式中。
  • porttype:接口类型。允许定义在字符串格式和HEX格式中。比如定义在ASCII格式中封装内容为Ethernet,而定义在HEX格式中封装内容为15。
  • iftype:接口类型。包括eth、trunk,只允许出现在ASCII格式中。
  • mac:接口MAC地址。在ASCII格式中是H-H-H形式,在HEX中则用6字节按顺序封装。
  • slot:槽号。允许定义在ASCII格式和HEX格式中。
  • subslot:子槽号。允许定义在ASCII格式和HEX格式中。
  • port:端口号。允许定义在ASCII格式和HEX格式中。
  • svlan:外层vlan,取值范围1~4094,如果没有默认填0。允许定义在ASCII格式和HEX格式中。
  • cvlan:内层vlan,取值范围1~4094,如果没有默认填0。允许定义在ASCII格式和HEX格式中。
  • length:length关键字后面内容的总长度,不包括length关键字的长度。
  • n:n在关键字svlan、cvlan的前面表示外层VLAN或内层VLAN不存在时的取值。VLAN不存在时,在ASCII中默认取4096,HEX中默认取全F。如果前面加n表示取0。允许定义在ASCII格式和HEX格式中。
说明:

关键字之间应该要有分隔符,否则会出现无法解析的情况。所以约定:任意两个关键字之间必须要有非数字的分隔符。

特殊含义字符的解释如下:
  • %+关键字表示格式化的格式。
  • %+数字+关键字中的数字表示格式化的长度。在ASCII格式字符串中,"%05"与C语言中"%05d"意思一样。在HEX格式字符串中,该数字表明封装时后面关键字占用多少bit。
  • []表示可选项,其中只能有一个关键字,且为svlan、cvlan之一。该关键字存在即可封装,并且该符号不允许嵌套。
  • \表示转义字符,\后面的特殊字符表示字符本身。比如\\表示字符\。
  • ""表示双引号中的内容使用ASCII格式进行封装。没有双引号或者双引号之外的内容使用HEX进行封装。
  • 其他的符号都作为普通字符处理。ASCII格式和HEX格式封装时的规则如下:
    • ASCII格式字符串中可以允许的字符包含阿拉伯数字、大写英文字母、小写英文字母、以及这些符号:!@#$%^&*()_+|-=\[]{};:'"/?.,<>`。
    • 在ASCII格式字符串中,各关键字默认长度取实际长度。
    • HEX格式字符串中允许出现数字、空格、%+关键字。
    • HEX格式字符串中,数字将直接以16进制形式封装进Option37中。0~255之间的数字占用一个字节;256~65535之间的数字占用2个字节;65536~4294967295之间的数字占用4个字节。不支持更大的数字。如果需要封装多个连续的数字,各数字之间以空格分开。
    • 封装HEX格式时,将忽略HEX格式字符串中所有空格。
    • 在HEX格式字符串中,槽号、子槽号、端口号、vlan关键字默认占用2个字节。length默认占用1个字节。
    • 在HEX格式字符中,如果指定了各关键字位宽,HEX格式总位宽必须是8的整数倍。如果指定的关键字位宽超过32位,则低32位封装实际的值,其他部分填0。
    • 只允许数字型关键字出现在HEX封装中,比如接口名不能以HEX封装。
    • 如果格式字符串未加双引号,则默认封装格式是HEX。如果需要封装ASCII格式,将配置的格式放入""中。比如槽号是3,端口号是4,格式%slot %port的封装结果是16进制的00030004;而格式"%slot %port"封装的结果是3 4。
    • 支持HEX与ASCII的混合配置,比如配置格式为%slot %port "%sysname %portname:%svlan.%cvlan"是允许的。

使用实例

# 在VLAN10下配置DHCPv6报文中添加的Option37选项的格式。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 10
[HUAWEI-vlan10] dhcpv6 option37 format user-defined "%length %svlan %5slot %3subslot %8port"

# 在接口GE1/0/1下配置DHCPv6报文中添加的Option37选项的格式。

<HUAWEI> system-view
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcpv6 option37 format user-defined "%length %svlan %5slot %3subslot %8port"

dhcpv6 { option18 | option37 } enable

命令功能

dhcpv6 { option18 | option37 } enable命令用来使能在DHCPv6报文中添加option18或option37选项的功能。

undo dhcpv6 { option18 | option37 } enable命令用来去使能在DHCPv6报文中添加option18或option37选项的功能。

缺省情况下,未使能在DHCPv6报文中添加option18或option37选项的功能。

命令格式

dhcpv6 { option18 | option37 } { insert | rebuild } enable

undo dhcpv6 { option18 | option37 } { insert | rebuild } enable

参数说明

参数

参数说明

取值

insert

指定使能在DHCPv6报文中插入option18或option37选项功能。

-

rebuild

指定使能在DHCPv6报文中强制插入option18或option37选项功能。

-

视图

VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

Option18与Option37选项功能与Option82选项功能(请参见dhcp option82 enable)类似,其中Option18选项包含了客户端的接口信息,Option37选项包含了客户端的MAC地址信息。设备通过在DHCPv6请求报文中添加Option18或Option37选项,可将DHCPv6 client的位置信息发送给DHCP Server,从而使得DHCP Server能够根据Option18或Option37选项的内容为DHCPV6 client分配合适的IP地址和其他配置信息,并实现对客户端的安全控制。

前置条件

执行本命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCPv6报文命令功能生效;在接口下执行该命令,则仅对该接口接收到的所有DHCPv6报文命令功能生效。

使用实例

# 在接口GE1/0/1发送的DHCPv6请求报文中插入Option37字段。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable
[HUAWEI-GigabitEthernet1/0/1] dhcpv6 option37 insert enable

dhcpv6 remote-id format

命令功能

dhcpv6 remote-id format命令用来配置DHCPv6报文中Remote-ID选项的格式。

undo dhcpv6 remote-id format命令用来恢复DHCPv6报文中Remote-ID选项为缺省配置。

缺省情况下,DHCPv6报文中Remote-ID选项的格式为default

命令格式

dhcpv6 remote-id format { default | user-defined text }

undo dhcpv6 remote-id format

参数说明

参数

参数说明

取值

default

指定Remote-ID选项采用默认格式。默认格式为"%duid %portname:%04svlan.%04cvlan"。其中,svlan和cvlan的取值为整数形式,长度为4个字符,如果不足该长度在前面补0。例如设备接收DHCPv6报文的外层VLAN为11,内层VLAN为22,入接口为GE1/0/1,客户端的DUID为0003000180FB063545B3,则系统解析时生成的Remote-ID选项为0003000180FB063545B3 GigabitEthernet 1/0/1:0011.0022。

-

user-defined text

指定Remote-ID选项格式为用户自定义格式,用户自定义格式可以为:
  • 关键字定义方式:根据自定义格式支持的关键字进行配置,例如当需要记录用户所连接的设备名称、用户所属的外层VLAN时,可自定义格式为:"%sysname %svlan"。如果用户所连接的设备名称为HUAWEI、所属svlan为100,则Remote-ID记录的用户位置信息为"HUAWEI 100"。

    自定义选项格式支持的关键字及其含义如表14-71所示。

  • 普通字符串定义方式:直接将Remote-ID选项定义为某一字符串,例如当接口下的用户全部位于名称为N8的办公大楼内,则可直接定义Remote-ID选项内容为"N8"。

  • 混合定义方式:Remote-ID选项格式由关键字与普通字符共同定义,例如"%sysname N8"。

字符串形式,区分大小写,支持空格,长度范围是3~247。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

Remote-ID选项可以记录设备接收来自客户端的DHCPv6请求报文的DUID等用户接入信息。设备作为DHCPv6中继或LDRA,当接收到DHCPv6客户端的请求报文并向DHCPv6服务器转发报文时,可以通过在报文中插入Remote-ID选项来标识DHCPv6客户端的位置信息,这些信息作为DHCPv6服务器分配IPv6地址和网络参数的依据。通过执行命令dhcpv6 remote-id format可以配置DHCPv6报文中插入的Remote-ID选项的格式。

表14-71  自定义选项格式支持的关键字及其含义

关键字

含义

duid

客户端的身份标识,包含客户端MAC地址等信息

sysname

客户端的设备名称

portname

设备接收客户端发送的DHCPv6报文的入接口名称

porttype

设备接收客户端发送的DHCPv6报文的入接口类型,在某些场景下配置NAS接口时指定的接口类型

iftype

设备接收客户端发送的DHCPv6报文的入接口类型,一般指GE等接口类型

mac

设备的MAC地址

slot

设备接收客户端发送的DHCPv6报文的槽位号

subslot

设备接收客户端发送的DHCPv6报文的子槽位号

port

设备接收客户端发送的DHCPv6报文的接口号

svlan

客户端发送的DHCPv6报文的外层VLAN

cvlan

客户端发送的DHCPv6报文的内层VLAN

length

length关键字后面内容的总长度,不包括length关键字的长度

后续任务

设备作为DHCPv6中继时,执行命令dhcpv6 remote-id format配置DHCPv6报文中Remote-ID选项的格式后,需要再执行命令dhcpv6 remote-id insert enabledhcpv6 remote-id rebuild enable使能在DHCPv6中继报文中插入Remote-ID选项。

说明:

设备作为LDRA时,默认插入Remote-ID选项,不需要配置使能在DHCPv6中继报文中插入Remote-ID选项。

注意事项

  • 自定义选项格式内容必须在双引号""之内。例如,需要配置自定义格式内容为mac,则执行命令dhcpv6 interface-id format user-defined "%mac"

  • 自定义选项格式的关键字之间必须存在非数字的分隔符,不然会出现无法解析的情况。

  • 自定义选项格式的关键字之前必须加上"%"才能和普通字符串进行区分;如果"%"与关键字之前存在数字,该数字表明关键字占用的字符数。

  • 自定义选项内容以ASCII格式进行封装,除上述注意事项外,还需注意以下规则:

    • \表示转义字符,\后面的特殊字符%\[]表示字符本身。比如\\表示字符\。
    • ASCII格式字符串中可以允许的字符包含阿拉伯数字、大写英文字母、小写英文字母以及符号!@#$%^&*()_+|-=\[]{};:'"/?.,<>`。
    • 在ASCII格式字符串中,各关键字默认长度取实际长度。

使用实例

# 配置DHCPv6报文的remote-id为自定义格式,封装内容为设备的MAC地址。

<HUAWEI> system-view
[HUAWEI] dhcpv6 remote-id format user-defined "%mac"

dhcpv6 snooping relay-information enable

命令功能

dhcpv6 snooping relay-information enable命令用来使能DHCPv6 Snooping支持的LDRA功能。

undo dhcpv6 snooping relay-information enable命令用来去使能DHCPv6 Snooping支持的LDRA功能。

缺省情况下,未使能DHCPv6 Snooping支持的LDRA功能。

命令格式

dhcpv6 snooping relay-information enable [ trust ]

undo dhcpv6 snooping relay-information enable [ trust ]

参数说明

参数 参数说明 取值
trust

指定设备对接收到的Relay-Forward报文为信任状态。

若不配置该参数,表示设备不信任接收到的Relay-Forward报文。

-

视图

VLAN视图

缺省级别

2:配置级

使用指南

应用场景

在一些场景中,譬如同一VLAN内通过不同接口接入的用户具有不同的网络访问权限、QoS等需求,这就需要DHCPv6服务器能够感知用户详细的接入位置,才能为不同位置的用户部署不同的接入控制、QoS等策略。DHCPv6中继代理一般部署在网关设备上,虽然中继代理设备也能够记录用户的接入位置信息,但是如果其与用户之间存在接入设备,则它不能感知到用户更加详细的接入位置。

LDRA功能能够满足上述场景需求。通过在靠近用户的接入设备上部署LDRA功能,设备可将用户详细的接入位置信息(如用户所连接设备的接口信息等)上送至DHCPv6服务器。这样DHCPv6服务器即可根据用户详细的接入位置信息为用户部署相关策略。

执行本命令可使能DHCPv6 Snooping支持的LDRA功能,同时根据不同情况可配置对接收到的Relay-Forward报文的不同处理方式:
  • 信任状态:当接收到Relay-Forward报文时,设备信任该报文并将其转发至DHCPv6 Server。该处理方式常用于LDRA设备级联场景,当后一级LDRA设备信任前面的设备构造的Relay-Forward报文时即可配置信任状态。
  • 非信任状态:当接收到的Relay-Forward报文时,设备不信任该报文并将其丢弃。该处理方式常用于LDRA设备直接下挂用户场景,这样可防范用户发送非法Relay-Forward报文。

前置条件

已执行命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

LDRA功能仅是记录用户详细的接入位置信息,并将该信息发送给DHCPv6服务器。如果需要对不同的用户部署不同的地址分配、计费、接入控制、QoS等策略,需DHCPv6 Server支持并在其上已配置了上述策略。

使用实例

# 在VLAN10下使能DHCPv6 Snooping支持的LDRA功能。

<HUAWEI> system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] dhcpv6 snooping relay-information enable

dhcpv6 snooping user-bind detect confirm-client enable

命令功能

dhcpv6 snooping user-bind detect confirm-client enable命令用来开启DHCPv6 Snooping探测confirm-client是否在线功能。

undo dhcpv6 snooping user-bind detect confirm-client enable命令用来关闭DHCPv6 Snooping探测confirm-client是否在线功能。

缺省情况下,DHCPv6 Snooping探测confirm-client是否在线功能处于开启状态。

命令格式

dhcpv6 snooping user-bind detect confirm-client enable

undo dhcpv6 snooping user-bind detect confirm-client enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

confirm-client指通过DHCPv6 Confirm报文生成绑定表的客户端,当客户端重新上线时,会发送DHCPv6 Confirm报文。

DHCPv6 Snooping在用户侧端口收到DHCPv6 Confirm报文会生成DHCPv6 Snooping绑定表。由于DHCPv6 Confirm报文没有携带有效租期,当confirm-client离线时,绑定表无法及时老化删除,占用了表项规格,可能导致新用户无法正常上线。

开启探测confirm-client是否在线功能后,DHCPv6 Snooping会周期性发送DAD类型的NS报文探测confirm-client是否在线,及时删除下线confirm-client的DHCPv6 Snooping表项。

前置条件

必须已执行命令dhcp snooping enable ipv6,开启全局DHCPv6 Snooping功能。

使用实例

# 开启DHCPv6 Snooping探测confirm-client是否在线功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable ipv6
[HUAWEI] dhcpv6 snooping user-bind detect confirm-client enable

dhcpv6 snooping user-bind detect retransmit

命令功能

dhcpv6 snooping user-bind detect retransmit命令用来配置DHCPv6 Snooping探测用户是否在线的DAD NS报文的发送次数和发送时间间隔。

undo dhcpv6 snooping user-bind detect retransmit命令用来恢复DHCPv6 Snooping探测用户是否在线的DAD NS报文的发送次数和发送时间间隔为缺省值。

缺省情况下,DHCPv6 Snooping探测用户是否在线的DAD NS报文发送次数为3次,发送时间间隔为180秒。

命令格式

dhcpv6 snooping user-bind detect retransmit times interval interval

undo dhcpv6 snooping user-bind detect retransmit

参数说明

参数 参数说明 取值
times

指定DAD NS报文发送次数。

整数形式,取值范围是1~10。

interval

指定DAD NS报文发送时间间隔。

整数形式,取值范围是60~86400,单位是秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

通过命令dhcpv6 snooping user-bind detect confirm-client enable,开启DHCPv6 Snooping探测confirm-client是否在线功能后,DHCPv6 Snooping会周期性发送DAD类型的NS报文探测confirm-client是否在线,及时删除下线confirm-client的DHCPv6 Snooping表项。管理员可以根据实际情况修改DHCPv6 Snooping探测用户是否在线的DAD NS报文的发送次数和发送时间间隔。

前置条件

必须已执行命令dhcp snooping enable ipv6,开启全局DHCPv6 Snooping功能。

使用实例

# 配置DHCPv6 Snooping探测用户是否在线的DAD NS报文发送次数为2次,发送时间间隔为60秒。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable ipv6
[HUAWEI] dhcpv6 snooping user-bind detect retransmit 2 interval 60

display dhcp option82 configuration

命令功能

display dhcp option82 configuration命令用来查看DHCP Option82的配置信息。

命令格式

display dhcp option82 configuration [ vlan vlan-id | interface interface-type interface-number ]

参数说明

参数

参数说明

取值

vlan vlan-id

查看在指定VLAN下配置的DHCP Option82信息。

整数形式,取值范围是1~4094

interface interface-type interface-number

查看在指定接口下配置的DHCP Option82信息。

  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

Option82选项记录了DHCP client的位置信息。设备通过在DHCP请求报文中添加Option82选项,可将DHCP client的位置信息发送给DHCP Server,从而使得DHCP Server能够根据Option82选项的内容为DHCP client分配合适的IP地址和其他配置信息,并实现对客户端的安全控制。

在DHCP报文中插入的Option82选项后,可使用命令display dhcp option82 configuration查看DHCP Option82选项的配置信息。

使用实例

# 查看DHCP Option82的所有配置信息。

<HUAWEI> display dhcp option82 configuration
#                                                                               
dhcp option82 vendor-specific format vendor-sub-option 1 ascii 22               
#                                                                               
interface GigabitEthernet1/0/1                                                 
 dhcp option82 subscriber-id format ascii 222                                   
 dhcp option82 insert enable                                                    
 dhcp option82 encapsulation circuit-id                                 
 dhcp option82 append vendor-specific                                           
 dhcp option82 circuit-id format common                                         
# 
表14-72  display dhcp option82 configuration命令输出信息描述

项目

描述

interface ifn

接口ifn下的Option82的配置信息。

dhcp option82 vendor-specific format vendor-sub-option i ascii text1

在DHCP报文的Option82选项中添加旧格式的Sub9子选项。

该项目可以通过命令dhcp option82 vendor-specific format配置。

dhcp option82 subscriber-id format ascii text2

在DHCP报文的Option82选项中添加Sub6子选项。

该项目可以通过命令dhcp option82 subscriber-id format配置。

dhcp option82 insert enable

使能在DHCP报文中添加Option82选项功能,并指定插入方式:

  • dhcp option82 rebuild enable:Rebuild方式插入。
  • dhcp option82 insert enable:Insert方式插入。

该项目可以通过命令dhcp option82 enable配置。

dhcp option82 encapsulation circuit-id 配置在DHCP报文的Option82选项中插入的子选项。

该项目可以通过命令dhcp option82 encapsulation配置。

dhcp option82 append vendor-specific

在DHCP报文的Option82选项中添加新格式的Sub9子选项。

该项目可以通过命令dhcp option82 append vendor-specific配置。

dhcp option82 circuit-id format common

配置circuit-id子选项的格式。

该项目可以通过命令dhcp option82 format配置。

display dhcp snooping

命令功能

display dhcp snooping命令用来查看DHCP Snooping的运行信息。

命令格式

display dhcp snooping [ interface interface-type interface-number | vlan vlan-id ]

参数说明

参数 参数说明 取值
interface interface-type interface-number 查看指定接口下的DHCP Snooping的运行信息。
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-
vlan vlan-id 查看指定VLAN下的DHCP Snooping的运行信息。 整数形式,取值范围是1~4094。

视图

所有视图

缺省级别

1:监控级

使用指南

使用命令display dhcp snooping可查看DHCP Snooping的运行信息,其中若不指定具体接口或VLAN,则显示设备全局的DHCP Snooping的运行信息,若指定具体的接口或VLAN,则仅显示该接口或VLAN下运行的DHCP Snooping的信息。

使用实例

# 查看全局DHCP Snooping的运行信息。

<HUAWEI> display dhcp snooping 
 DHCP snooping global running information   :                                     
 DHCPv4 snooping                            : Enable                              
 DHCPv6 snooping                            : Enable                              
 Static user max number                     : 1024                                
 Current static user number                 : 1                                   
 Dhcp user(dhcpv4/dhcpv6/nd) max number     : 4096                                                                   
 Dhcp user(dhcpv4/dhcpv6) max number        : 3000                                                                                    
 Nd user max number                         : 1000 
 Current dhcpv4 user number                 : 0                                                                                       
 Current dhcpv6 user number                 : 0                                                                                       
 Current nd user number                     : 0 
 Arp dhcp-snooping detect                   : Disable  (default)                  
 Alarm threshold                            : 100      (default)                  
 Check dhcp-rate                            : Disable  (default)                  
 Dhcp-rate limit(pps)                       : 100      (default)                  
 Alarm dhcp-rate                            : Disable  (default)                  
 Alarm dhcp-rate threshold                  : 100      (default)                  
 Discarded dhcp packets for rate limit      : 0                                   
 Bind-table autosave                        : Enable                              
 Bind-table save file                       : flash:/dhcp.tbl                    
 Bind-table save interval(second)           : 3600                                
 Client position transfer allowed           : Enable   (default)                  
 DHCPv6 confirm-client online detection     : Enable   (default)                  
 DHCPv6 client online detection times       : 3        (default)                  
 DHCPv6 client online detection interval    : 180      (default)                  
 Check dhcpv6-rate                          : Disable  (default)                  
 Dhcpv6-rate limit(pps)                     : 100      (default)                  
 Alarm dhcpv6-rate                          : Enable                              
 Alarm dhcpv6-rate threshold                : 10                                  
 Discarded dhcpv6 packets for rate limit    : 0   
 DHCP snooping packet-flow log              : Disable  (default)
                                                                                
 DHCP snooping running information for interface GigabitEthernet1/0/1   :               
 DHCP snooping                              : Enable                  
 Trusted interface                          : No                                  
 Dhcp user(dhcpv4/dhcpv6/nd) max number     : 4096                                                                       
 Current dhcpv4 user number                 : 0                                                                                       
 Current dhcpv6 user number                 : 0                                                                                       
 Current nd user number                     : 0 
 Check dhcp-giaddr                          : Enable                              
 Check dhcp-chaddr                          : Disable  (default)                  
 Alarm dhcp-chaddr                          : Disable  (default)                  
 Check dhcp-request                         : Disable  (default)                  
 Alarm dhcp-request                         : Disable  (default)                  
 Check dhcp-rate                            : Enable                              
 Dhcp-rate limit(pps)                       : 100                                 
 Alarm dhcp-rate                            : Enable                              
 Alarm dhcp-rate threshold                  : 100                                 
 Discarded dhcp packets for rate limit      : 0                                   
 Alarm dhcp-reply                           : Disable  (default)                  
 Check dhcpv6-rate                          : Enable                              
 Dhcpv6-rate limit(pps)                     : 100                                 
 Alarm dhcpv6-rate                          : Enable                              
 Alarm dhcpv6-rate threshold                : 10                                  
 Discarded dhcpv6 packets for rate limit    : 0
 Alarm dhcpv6-request                       : Enable
 Alarm dhcpv6-request threshold             : 100
 Discarded dhcpv6 packets for check request : 0 
表14-73  display dhcp snooping命令输出信息描述

项目

描述

DHCPv4 snooping

全局是否使能DHCPv4 Snooping。

配置该功能,请参见命令dhcp snooping enable

DHCPv6 snooping

全局是否使能DHCPv6 Snooping。

配置该功能,请参见命令dhcp snooping enable

DHCP snooping

接口或VLAN下是否使能DHCP Snooping功能。

配置该功能,请参见命令dhcp snooping enable

Static user max number

最大静态用户数。

Current static user number

当前静态用户数。

Dhcp user(dhcpv4/dhcpv6/nd) max number

DHCPv4 Snooping、ND Snooping和DHCPv6 Snooping绑定表的共享规格。

Dhcp user(dhcpv4/dhcpv6) max number

通过命令行设置的DHCPv4 Snooping和DHCPv6 Snooping的最大个数。

配置该功能,请参见命令dhcp snooping max-user-number。不配置该命令则不显示该项目。

Nd user max number

通过命令行设置的ND Snooping的最大个数。

配置该功能,请参见命令nd snooping max-user-number。不配置该命令则不显示该项目。

Current dhcpv4 user number

当前在线的DHCPv4用户数。

Current dhcpv6 user number

当前在线的DHCPv6用户数。

Current nd user number

当前在线的ND用户数。

Arp dhcp-snooping detect

是否使能ARP与DHCP Snooping的联动功能。

配置该功能,请参见命令arp dhcp-snooping-detect enable

Alarm threshold

全局DHCP Snooping丢弃报文数量的告警阈值。

配置该功能,请参见命令dhcp snooping alarm threshold

Check dhcp-rate

是否使能DHCP报文速率检查功能。

配置该功能,请参见命令dhcp snooping check dhcp-rate enable

Dhcp-rate limit(pps)

限制DHCP报文速率数,单位是报文数/秒。

配置该功能,请参见命令dhcp snooping check dhcp-rate

Alarm dhcp-rate

是否使能DHCP报文上送到DHCP协议栈的速率检查告警功能。

配置该功能,请参见命令dhcp snooping alarm dhcp-rate enable

Alarm dhcp-rate threshold

DHCP报文上送到DHCP协议栈的速率的告警阈值,丢弃的DHCP报文数超过此阈值发送告警。

配置该功能,请参见命令dhcp snooping alarm dhcp-rate threshold

Discarded dhcp packets for rate limit

丢弃超出DHCP报文速率的报文数。

Bind-table autosave

是否使能自动备份DHCP Snooping绑定表。

配置该功能,请参见命令dhcp snooping user-bind autosave

Client position transfer allowed

是否允许用户迁移。

配置该功能,请参见命令dhcp snooping user-transfer enable

DHCPv6 confirm-client online detection

是否使能DHCPv6 Snooping探测confirm-client是否在线功能。

DHCPv6 client online detection times

DHCPv6 Snooping探测用户是否在线的DAD NS报文的发送次数。

DHCPv6 client online detection interval

DHCPv6 Snooping探测用户是否在线的DAD NS报文的发送时间间隔。

Check dhcpv6-rate

是否使能DHCPv6报文速率检查功能。

配置该功能,请参见命令dhcp snooping check dhcpv6-rate enable

Dhcpv6-rate limit(pps)

限制DHCPv6报文速率数,单位是报文数/秒。

配置该功能,请参见命令dhcp snooping check dhcpv6-rate

Alarm dhcpv6-rate

是否使能DHCPv6报文上送到DHCPv6协议栈的速率检查告警功能。

配置该功能,请参见命令dhcp snooping alarm dhcpv6-rate enable

Alarm dhcpv6-rate threshold

DHCPv6报文上送到DHCPv6协议栈的速率的告警阈值,丢弃的DHCPv6报文数超过此阈值发送告警。

配置该功能,请参见命令dhcp snooping alarm dhcpv6-rate threshold

Discarded dhcpv6 packets for rate limit

丢弃的超出DHCPv6报文速率的报文数。

DHCP snooping packet-flow log
是否开启DHCP报文交互时记录日志的功能。取值包括:
  • Enable:已开启DHCP报文交互时记录日志的功能
  • Disable:未开启DHCP报文交互时记录日志的功能

配置该功能,请参见命令dhcp snooping packet-flow log enable

Trusted interface

是否为信任接口。

配置该功能,请参见命令dhcp snooping trusted

Check dhcp-giaddr

是否使能检查DHCP Request报文里的GIADDR字段是否非零的功能。

配置该功能,请参见命令dhcp snooping check dhcp-giaddr enable

Check dhcp-chaddr

是否使能检查DHCP Request报文里的CHADDR字段和以太帧头的源MAC是否一致的功能。

配置该功能,请参见命令dhcp snooping check dhcp-chaddr enable

Alarm dhcp-chaddr

是否使能指定丢弃的DHCP Request报文数目(该报文的CHADDR字段和以太帧头的源MAC不一致)达到告警阈值后产生告警功能。

配置该功能,请参见命令dhcp snooping alarm enable

Check dhcp-request

是否使能接口对DHCP Request报文的检查功能。

配置该功能,请参见命令dhcp snooping check dhcp-request enable

Alarm dhcp-request

是否使能单位时间内被丢弃的DHCP Request报文达到告警门限时产生告警信息的功能。

配置该功能,请参见命令dhcp snooping alarm enable

Alarm dhcp-reply

是否使能接口丢弃非信任的DHCP Reply报文时产生告警信息的功能。

配置该功能,请参见命令dhcp snooping alarm enable

Alarm dhcpv6-request

否使能接口丢弃非信任的DHCPv6 Request报文时产生告警信息的功能。

配置该功能,请参见命令dhcp snooping alarm enable

Alarm dhcpv6-request threshold

接口丢弃非信任DHCPv6 Request报文数量的告警阈值。

配置该功能,请参见命令dhcp snooping alarm threshold

Discarded dhcpv6 packets for check request

丢弃的超过DHCPv6报文速率的报文数。

display dhcp snooping configuration

命令功能

display dhcp snooping configuration命令用来查看DHCP Snooping的配置信息。

命令格式

display dhcp snooping configuration [ vlan vlan-id | interface interface-type interface-number ]

参数说明

参数

参数说明

取值

vlan vlan-id

查看在指定VLAN下配置的DHCP Snooping信息。

整数形式,取值范围是1~4094

interface interface-type interface-number
查看在指定接口下配置的DHCP Snooping信息。
  • interface-type表示接口类型。
  • interface-number表示接口编号。
-

视图

所有视图

缺省级别

1:监控级

使用指南

在配置好DHCP Snooping的相关功能后,可使用该命令来查看DHCP Snooping的配置信息。若不指定具体VLAN或接口,则显示设备上所有的DHCP Snooping配置信息,但若指定了具体的VLAN或接口,则仅查看该VLAN或接口下DHCP Snooping的配置信息。

使用实例

# 查看DHCP Snooping相关配置信息。

<HUAWEI> display dhcp snooping configuration
#
dhcp snooping enable
#
vlan 3
 dhcp snooping enable
 dhcp snooping check dhcp-giaddr enable
#
interface GigabitEthernet1/0/1
 dhcp snooping enable
#                 

display dhcp snooping statistics

命令功能

display dhcp snooping statistics命令用来查看接收到的DHCP报文的统计信息。

命令格式

display dhcp snooping statistics

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

使用命令display dhcp snooping statistics可查看设备接收到的各类型DHCP报文的统计信息。

使用实例

# 查看接收到的DHCP报文的统计信息。

<HUAWEI> display dhcp snooping statistics 
 DHCP Snooping Statistics:                                                      
                                                                                
 Client Request:                                                                 
  Dhcp Discover:                  0                                             
  Dhcp Request:                   0                                             
  Dhcp Decline:                   0                                             
  Dhcp Release:                   0                                             
  Dhcp Inform:                    0                                             
 Server Reply:                                                                  
  Dhcp Offer:                     0                                             
  Dhcp Ack:                       0                                             
  Dhcp Nak:                       0                                             
 Drop Packet:                                                                   
  Dropped by mac-address check:   0                                             
  Dropped by untrust reply:       0                                             
  Dropped by request conflict:    0 
  Dropped by untrust relay-forw:  0   
 Delete DHCP snooping table:                      
  Receive release packet:         0                         
  Receive decline packet:         0                            
  Lease expired:                  0                               
  User command:                   0                            
  Client transferes:              0                          
  Interface down:                 0                  
  Arp detect:                     0         
  Ucm notify:                     0
表14-74  display dhcp snooping statistics命令输出信息描述

项目

描述

Client Request

DHCP客户端发送的报文,包括:

  • Dhcp Discover报文
  • Dhcp Request报文
  • Dhcp Decline报文
  • Dhcp Release报文
  • Dhcp Inform报文

Server Reply

DHCP服务器回应的报文,包括:

  • Dhcp Offer报文
  • Dhcp Ack报文
  • Dhcp Nak报文

Drop Packet

丢弃的报文。

Dropped by mac-address check

MAC地址与CHADDR不一致而被丢弃的报文数量。

Dropped by untrust reply

丢弃不信任的reply报文计数。

Dropped by request conflict

检查客户端的MAC地址和服务器的MAC地址相同时丢弃的报文计数。

Dropped by untrust relay-forw

丢弃不信任的relay-forw报文计数。

Delete DHCP snooping table

设备删除的DHCP Snooping绑定表项数目。

Receive release packet

设备接收到DHCP Release报文而删除的绑定表项数目。

Receive decline packet

设备接收到DHCP Decline报文而删除的绑定表项数目。

Lease expired

由于DHCP Snooping绑定表租期到期而删除的绑定表项数目。

User command

用户使用命令删除的绑定表项数目。

Client transferes

由于用户客户端接口迁移而删除的绑定表项数目。

Interface down

由于接口关闭而删除的绑定表项数目。

Arp detect

由于ARP联动功能而删除的绑定表项数目。

Ucm notify

Ucm模块通知DHCP snooping删除用户绑定表的次数。

display dhcp snooping user-bind

命令功能

display dhcp snooping user-bind命令用来查看DHCP Snooping动态绑定表信息。

命令格式

display dhcp snooping user-bind { { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]

参数说明

参数

参数说明

取值

interface interface-type interface-number

查看包含指定接口的绑定表项。

其中
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

ip-address ip-address

查看包含指定IP地址的绑定表项。

点分十进制形式。

mac-address mac-address

查看包含指定MAC地址的绑定表项。

格式为H-H-H,其中H为4位的十六进制数。

vlan vlan-id

查看包含指定VLAN的绑定表项。

整数形式,取值范围是1~4094

all

查看所有用户的绑定表信息。

-

verbose

查看绑定表的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

使能DHCP Snooping功能后,设备能够生成DHCP Snooping绑定表,绑定表项包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的接口及该接口所属的VLAN等信息。使用命令display dhcp snooping user-bind可查看设备上DHCP用户对应生成的绑定表项。

使用实例

# 查看DHCP Snooping绑定表信息。

  • 查看绑定表信息。

    <HUAWEI> display dhcp snooping user-bind all
    DHCP Dynamic Bind-table:
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping 
    IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease           
    --------------------------------------------------------------------------------
    10.1.28.141      78ac-d4b5-b858  10  /--  /--    GE1/0/1       2008.10.17-07:31
    --------------------------------------------------------------------------------
    Print count:           1          Total count:           1 
  • 选择verbose参数时,查看DHCP Snooping绑定表的详细信息。
    <HUAWEI> display dhcp snooping user-bind all verbose
    DHCP Dynamic Bind-table:                                                        
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
    --------------------------------------------------------------------------------
     IP Address  : 10.10.21.254                                                     
     MAC Address : 0200-0000-00e8                                                   
     VSI         : --                                                               
     VLAN(O/I/P) : 10  /--  /--                                                     
     Interface   : GE1/0/1                               
     Renew time  : 2017.03.07-11:32                                                 
     Expire time : 2017.03.08-11:32                                                 
     IPSG Status : IPv4 effective slot: <3>
     Gateway     : 10.10.21.1                                                       
     Server-ip   : 10.10.21.1                                                       
    --------------------------------------------------------------------------------
    Print count:           1          Total count:           1 
表14-75  display dhcp snooping user-bind命令输出信息描述

项目

描述

DHCP Dynamic Bind-table

DHCP Snooping动态绑定表。

Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping

字母O代表外层VLAN,字母I代表内层VLAN,字母P代表Vlan-mapping。

IP Address

用户的IP地址。

MAC Address

用户MAC地址。

VSI

用户上线的VPN实例名。

VLAN(O/I/P)

用户上线时的外层VLAN、内层VLAN或VLAN Mapping信息。

Interface

用户上线的接口。

Renew time

表项刷新时间。

Expire time

表项老化时间。

IPSG Status

IPv4 effective表示IPv4报文检查生效,slot: <3>表示槽位号为3。

Gateway

网关地址。

Server-ip

DHCP服务器IP地址。

display dhcpv6 snooping user-bind

命令功能

display dhcpv6 snooping user-bind命令用来查看DHCPv6 Snooping绑定表信息。

命令格式

display dhcpv6 snooping user-bind { { interface interface-type interface-number | ipv6-address { ipv6-address | all } | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]

display dhcpv6 snooping user-bind ipv6-prefix { prefix/prefix-length | all } [ verbose ]

参数说明

参数

参数说明

取值

interface interface-type interface-number

显示指定接口的绑定表。
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

ipv6-address ipv6-address

显示指定IPv6地址的绑定表。

32位16进制数,格式为X:X:X:X:X:X:X:X。

mac-address mac-address

显示指定MAC地址的绑定表。

H-H-H十六进制形式。

vlan vlan-id

显示指定VLAN的绑定表。

整数形式,取值范围是1~4094。

ipv6-prefix

显示IPv6前缀绑定表信息。

-

prefix/prefix-length

显示指定IPv6前缀的绑定表项信息。

prefix为32位16进制数,格式为X:X::X:X。

prefix-length为整数形式,取值范围是1~128。

all

显示所有的绑定表信息。

-

verbose

显示绑定表相关的详细信息。

若不指定该参数,则显示绑定表项的简要信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

使能DHCP Snooping功能后,设备能够生成DHCP Snooping绑定表,绑定表项包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的接口及该接口所属的VLAN等信息。使用命令display dhcpv6 snooping user-bind可查看IPv6用户对应生成的绑定表项。

另一方面,若网络中存在PD用户则设备中将包含有IPv6前缀绑定表,使用命令display dhcpv6 snooping user-bind ipv6-prefix将仅查看IPv6前缀绑定表信息。

使用实例

# 查看DHCPv6绑定表信息。

  • 查看所有绑定表信息。

    <HUAWEI> display dhcpv6 snooping user-bind all
    DHCPV6 Dynamic Bind-table:                                                      
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                              
    IP Address                      MAC Address     VSI/VLAN(O/I/P) Lease           
    --------------------------------------------------------------------------------
    FC00:1::1                       00d5-0191-02de  500 /--  /--    2008.10.01-00:26
    --------------------------------------------------------------------------------
    print count:           1          total count:           1                      
  • 选择verbose参数时,查看DHCPv6绑定表信息。

    <HUAWEI> display dhcpv6 snooping user-bind all verbose
    DHCPV6 Dynamic Bind-table:                                                      
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
    --------------------------------------------------------------------------------
     IP Address  : FC00:1::1                                                          
     MAC Address : 00d5-0191-02de                                                   
     VSI         : --                                                               
     VLAN(O/I/P) : 500 /--  /--                                                     
     Interface   : GE1/0/1                                                         
     Lease       : 2008.10.01-00:27                                                 
     IPSG Status : ineffective                                                      
     User State  : BOUND                                                            
    --------------------------------------------------------------------------------
    print count:           1          total count:           1                      
# 查看IPv6前缀绑定表信息。
  • 查看所有绑定表信息。
    <HUAWEI> display dhcpv6 snooping user-bind ipv6-prefix all
    PD Dynamic Bind-table:                                                          
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                              
    IPv6 Prefix                     MAC Address     VSI/VLAN(O/I/P) Lease           
    --------------------------------------------------------------------------------
    FC00:2::/36                     00d5-0191-02de  500 /--  /--    2008.10.03-00:30
    --------------------------------------------------------------------------------
    print count:           1          total count:           1                      
  • 选择verbose参数时,查看IPv6前缀绑定表信息。
    <HUAWEI> display dhcpv6 snooping user-bind ipv6-prefix all verbose
    PD Dynamic Bind-table:                                                          
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping  
    --------------------------------------------------------------------------------
     IP Address  : FC00:2::/36                                                        
     MAC Address : 00d5-0191-02de                                                   
     VSI         : --                                                               
     VLAN(O/I/P) : 500 /--  /--                                                     
     Interface   : GE1/0/1                                                         
     Lease       : 2008.10.03-00:30                                                 
     User State  : BOUND                                                            
    --------------------------------------------------------------------------------
    print count:           1          total count:           1                      
表14-76  display dhcpv6 snooping user-bind命令输出信息描述

项目

描述

DHCPV6 Dynamic Bind-table

DHCPv6 Snooping动态绑定表。

PD Dynamic Bind-table

IPv6前缀绑定表。

Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping

字母O代表外层VLAN,字母I代表内层VLAN,字母P代表VLAN Mapping。

IP Address

用户的IPv6地址。

IPv6 Prefix

用户的IPv6前缀。

MAC Address

用户MAC地址。

VSI

用户上线的VPN实例名。

VLAN(O/I/P)

用户上线时的外层VLAN、内层VLAN或VLAN Mapping信息。

Interface

用户上线的接口。

Lease

用户租期到的时间。

IPSG Status

已使能IP报文检查功能时,该绑定表对于IP报文检查功能是否生效,包括以下两个状态:
  • IPv6 effective表示IPv6报文已生效,slot: <1>表示生效的槽位为1
  • ineffective表示未生效。

如果未使能IP报文检查功能,则该字段显示值没有意义。

User State

DHCPv6 Snooping绑定表项的状态,包括:
  • START
  • DETECTION
  • BOUND
  • LIVE

reset dhcp snooping statistics

命令功能

reset dhcp snooping statistics命令用来清除DHCP Snooping的统计信息。

命令格式

reset dhcp snooping statistics { global | interface interface-type interface-number [ vlan vlan-id ] | vlan vlan-id [ interface interface-type interface-number ] }

参数说明

参数 参数说明 取值
global 清除全局DHCP Snooping的统计信息。

-

interface interface-type interface-number 清除指定接口的DHCP Snooping统计信息。
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

vlan vlan-id 清除指定VLAN的DHCP Snooping统计信息。vlan-id表示VLAN编号。 vlan-id为整数形式,取值范围是1~4094

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

当使能DHCP Snooping功能后若产生了报文计数,可以执行本命令清除报文的统计信息。

注意事项

若同时选择interfacevlan参数,则interface必须已加入vlan。此时命令用来清除interface下属于vlan的DHCP Snooping统计信息。

使用实例

# 清除GE1/0/1接口下DHCP Snooping统计信息。

<HUAWEI> reset dhcp snooping statistics interface gigabitethernet 1/0/1

reset dhcp snooping user-bind

命令功能

reset dhcp snooping user-bind命令用来清除DHCP Snooping绑定表。

命令格式

reset dhcp snooping user-bind [ vlan vlan-id | interface interface-type interface-number ] * [ ipv4 | ipv6 ]

reset dhcp snooping user-bind [ ip-address [ ip-address ] | ipv6-address [ ipv6-address ] | vpls vpls-name ]

reset dhcp snooping user-bind [ ipv6-prefix [ prefix/prefix-length ] ]

参数说明

参数 参数说明 取值
vlan vlan-id

清除包含指定VLAN的DHCP Snooping绑定表信息。

整数形式,取值范围1~4094
interface interface-type interface-number
清除包含指定接口的DHCP Snooping绑定表信息。其中
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

ipv4ip-address

清除包含IPv4地址的DHCP Snooping绑定表信息。

-

ipv6-addressipv6ipv6-prefix
清除包含IPv6地址或IPv6前缀的DHCP Snooping绑定表信息。
  • ipv6表示清除包含IPv6地址或IPv6前缀的DHCP Snooping绑定表信息。
  • ipv6-address表示清除包含IPv6地址的DHCP Snooping绑定表信息。
  • ipv6-prefix表示清除包含IPv6前缀的DHCP Snooping绑定表信息。

-

ip-address

清除包含指定IPv4地址的DHCP Snooping绑定表信息。

点分十进制形式。
ipv6-address

清除包含指定IPv6地址的DHCP Snooping绑定表信息。

总长度为128位,通常分为8组,每组为4个十六进制数的形式。格式为X:X:X:X:X:X:X:X。
prefix/prefix-length
清除包含指定IPv6前缀的DHCP Snooping绑定表信息。其中:
  • prefix表示IPv6前缀。
  • prefix-length表示IPv6前缀长度。
prefix为32位16进制数,格式为X:X::X:X;prefix-length为整数形式,取值范围是1~128。
vpls vpls-name

清除指定VPLS名称的DHCP Snooping绑定表信息。

必须是已存在的VPLS名称。

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

配置了DHCP Snooping功能后,DHCP用户上线后将会生成对应的绑定表。使用本命令可选择不同的参数批量清除包含有该参数的绑定表项,若不指定具体参数则将删除所有的绑定表项。

注意事项

若同时配置参数interface interface-type interface-numbervlan vlan-id,则参数interface interface-type interface-number指定的接口必须已经加入参数vlan vlan-id指定的VLAN。此时命令用来清除指定接口下属于某VLAN的DHCP Snooping绑定表信息。

使用实例

# 清除VLAN100内的DHCP Snooping绑定表项。

<HUAWEI> reset dhcp snooping user-bind vlan 100
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10958

下载量:202

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页