所选语种没有对应资源,请选择:
企业业务网站
选择区域/语言
Huawei Global - English
技术支持 文档中心
S2720, S5700, S6700 V200R019C10 配置指南-IP业务

本文档介绍了IP业务的配置,具体包括IP地址配置、ARP配置、DHCP配置、DHCP策略VLAN配置、DNS配置、mDNS网关配置、mDNS中继配置、UDP Helper配置、IP性能优化配置、IPv6基础配置、DHCPv6配置、IPv6 DNS配置、IPv6 over IPv4隧道配置和IPv4 over IPv6隧道配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置设备作为DHCP服务器

配置设备作为DHCP服务器

开启DHCP功能

背景信息

配置DHCP Server功能之前,必须先在系统视图下开启DHCP功能。

  • dhcp enable命令是DHCP相关功能的总开关,DHCP Relay、DHCP Snooping、DHCP Server等功能都要在执行dhcp enable命令使能DHCP功能后才会生效。执行undo dhcp enable命令后,设备上所有的DHCP相关的配置会被删除;再次执行dhcp enable命令使能DHCP功能后,设备上所有DHCP相关配置将被恢复为缺省配置。

  • 开启DHCP功能后,如果使能了STP功能,可能会造成地址分配较慢。STP功能缺省处于使能状态,如果确认不需要使能STP功能,可以执行命令undo stp enable去使能STP功能。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp enable,开启DHCP功能。

    缺省情况下,DHCP功能处于关闭状态。

  3. (可选)执行命令dhcp speed-limit auto,开启DHCP报文动态限速功能。

    缺省情况下,DHCP报文动态限速功能处于关闭状态。

  4. (可选)执行命令dhcp broadcast suppress enable,开启DHCP广播报文抑制功能。

    缺省情况下,DHCP广播报文抑制功能处于关闭状态。

开启DHCP服务器功能

背景信息

配置设备作为DHCP服务器之前,首先需要开启DHCP功能;然后再开启基于接口地址池或者全局地址池的DHCP服务器功能。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令ip address ip-address { mask | mask-length },配置接口的IP地址。
    5. 执行命令dhcp select interface,开启接口采用接口地址池的DHCP服务器功能。

      缺省情况下,接口下未开启采用接口地址池的DHCP服务器功能。

      如果设备作为DHCP服务器为多个接口下的客户端提供DHCP服务,需要分别在多个接口上重复执行此步骤使能DHCP服务功能。

  • 基于全局方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 配置接口的IP地址。

      1. 执行命令ip address ip-address { mask | mask-length },配置接口的主IP地址。
      2. (可选)执行命令ip address ip-address { mask | mask-length } sub,配置接口的从IP地址。

      设备根据接口主从IP地址选择全局地址池,仅适用于DHCP客户端和DHCP服务器处于同一个网段的场景。

      接口配置IP地址后,此接口下的客户端申请IP地址时:

      • 如果设备与客户端处于同一个网段(即无中继场景),设备会首先选择与此接口的主IP地址在同一个网段的地址池来分配IP地址。如果主IP地址对应地址池耗尽或未配置主IP地址对应地址池,使用从IP地址对应的地址池给客户端分配地址。如果接口未配置IP地址,或者没有和接口地址在相同网段的地址池,客户端无法成功申请IP地址。
      • 如果设备与客户端处于不同网段(即有中继场景),DHCP服务器解析收到的DHCP请求报文中giaddr字段指定的IP地址,选择与此IP地址在同一个网段的地址池来进行IP地址分配。如果该IP地址匹配不到相应的地址池,客户端无法成功申请IP地址。

    5. 执行命令dhcp select global,使能接口采用全局地址池的DHCP服务器功能。如果DHCP客户端和设备之间存在DHCP中继,此步骤为可选;否则,为必选。

      缺省情况下,未使能接口采用全局地址池的DHCP服务器功能。

(可选)配置DHCP数据恢复功能

背景信息

当设备出现故障或升级重启时,设备作为DHCP Server给Client分配的地址信息的数据将会丢失,设备重启后需要重新进行分配。为了防止数据丢失,保证设备重启后数据可以恢复,可以配置分配地址的数据保存功能,定时将地址的分配情况(分配出去地址租期或冲突的地址情况等)保存到存储器中,当设备重启后可以从存储器中及时恢复数据。

  • 配置DHCP数据恢复功能后,系统将lease.txt和conflict.txt两个文件,存放在存储器中的dhcp文件夹中,分别保存已分配的地址租期信息和地址冲突信息。这两个文件会被定期覆盖,建议用户在必要时将生成的文件备份到其他位置。

    lease.txt和conflict.txt这两个文件显示的时间为UTC时间,非系统时间,不关注时区信息。

  • 执行命令display dhcp server database可以查看DHCP数据的存放信息。
  • 在系统自动保存DHCP数据的时间间隔内,若设备意外重启,则这段时间内生成的DHCP数据将会丢失。用户仅可以通过存储设备文件恢复最近一次保存成功的DHCP数据。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp server database enable,开启设备分配地址的数据保存功能。

    缺省情况下,设备分配地址的数据保存功能处于关闭状态。

  3. 执行命令dhcp server database write-delay interval,配置数据保存的时间间隔。

    缺省情况下,每隔7200秒保存一次当前的地址分配情况,并覆盖之前的数据文件。

  4. 执行命令dhcp server database recover,开启DHCP数据恢复功能。

    缺省情况下,DHCP数据保存到存储设备的功能未开启。

(可选)配置IP地址冲突探测功能

背景信息

地址冲突探测功能通过ICMP报文来实现,目的是为了防止IP地址重复分配而导致地址冲突。配置此功能后,DHCP服务器在发送DHCP OFFER报文前,发送源地址为DHCP服务器IP地址、目的地址为预分配出去IP地址的ICMP ECHO REQUEST报文对分配的IP地址进行地址冲突探测。

  • 如果在探测时间(探测次数×每次探测的最长等待时间)内没有收到应答报文,表示网络中没有终端使用这个IP地址,则将该地址分配给客户端。
  • 如果在探测时间(探测次数×每次探测的最长等待时间)内收到应答报文,表示网络中已经存在使用此IP地址的终端,则把此地址列为冲突地址,然后等待重新接收到请求报文后重新选择可用的IP地址。

IP地址冲突探测的时间不宜过长,否则,会导致客户端获取不到IP地址。建议用户配置的探测时间(探测次数×每次探测的最长等待时间)小于8秒。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp server ping packet number,配置设备分配IP地址时的冲突探测的次数。

    缺省情况下,设备分配IP地址时的冲突探测的次数为2

  3. 执行命令dhcp server ping timeout milliseconds,配置设备分配IP地址时每次冲突探测的最长等待时间。

    缺省情况下,设备分配IP地址时每次冲突探测的最长等待时间为500毫秒。

(可选)配置DHCP服务器为BOOTP客户端动态分配地址

背景信息

如果网络中存在BOOTP客户端,并且希望通过DHCP方式动态获取IP地址时,则DHCP服务器必须配置该步骤。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp server bootp,开启DHCP Server应答BOOTP请求的功能。

    缺省情况下,DHCP服务器应答BOOTP请求的功能处于关闭状态。

  3. 执行命令dhcp server bootp automatic,开启DHCP服务器为BOOTP客户端动态分配地址的功能。

    缺省情况下,DHCP服务器为BOOTP客户端动态分配地址的功能处于关闭状态。

(可选)配置异常报文检查功能

背景信息

网络中由于各厂商实现的差异性,设备对收到的DHCP报文进行UDP头校验和检查或magic-cookie字段检查时可能会不通过,从而丢弃该DHCP报文,造成DHCP功能不可用。此时,可以配置对收到的DHCP报文不进行UDP头校验和检查或magic-cookie字段检查,使UDP头校验和错误和magic-cookie字段错误的DHCP报文可以正常转发。

另外一种场景是,设备发送DHCP报文时携带的UDP头校验和取值为0,标准协议规定,UDP校验和取值为0时,对端设备不需要校验。如果对端设备不符合标准协议,设备发送的UDP校验和取值为0时,对端设备也必须进行校验。此时,需要配置设备在发送DHCP报文时携带UDP头校验和,使设备发送的DHCP报文能够通过对端设备的校验。

  • 对收到的DHCP报文不进行UDP头校验和检查或magic-cookie字段检查的功能适用于设备作为DHCP服务器、中继、客户端和Snooping。
  • 发送DHCP报文时携带UDP头校验和的功能仅适用于设备作为DHCP服务器。
  • 打开DHCP功能后,设备默认检查收到的DHCP报文的IP头校验和和UDP头校验和,并且不支持关闭检查IP头检验和功能。

操作步骤

  • 在系统视图下配置
    1. 执行命令system-view,进入系统视图。
    2. 配置异常报文检查功能

      • 执行命令undo dhcp anti-attack check magic-cookie,配置设备在收到DHCP报文时不检查magic-cookie字段的功能。

        缺省情况下,设备收到的DHCP报文时,不检查magic-cookie字段,直接转发字段错误的DHCP报文。

      • 执行命令undo dhcp anti-attack check udp-checksum,配置设备在收到DHCP报文时不检查UDP头校验和的功能。

        缺省情况下,设备在收到DHCP报文时检查UDP头校验和,并丢弃校验和错误的DHCP报文。

      • 执行命令dhcp udp-checksum enable,使能设备在发送DHCP报文时携带UDP头校验和的功能。

        缺省情况下,设备发送DHCP报文时携带的UDP头校验和取值为0,对端设备不需要进行校验。

  • 在VLAN视图下配置
    1. 执行命令system-view,进入系统视图。
    2. 执行命令vlan vlan-id,进入VLAN视图。
    3. 配置异常报文检查功能

      • 执行命令undo dhcp anti-attack check magic-cookie,配置设备在收到DHCP报文时不检查magic-cookie字段的功能。

        缺省情况下,设备收到的DHCP报文时,不检查magic-cookie字段,直接转发字段错误的DHCP报文。

      • 执行命令undo dhcp anti-attack check udp-checksum

        配置设备在收到DHCP报文时不检查UDP头校验和的功能。

        缺省情况下,设备在收到DHCP报文时检查UDP头校验和,并丢弃校验和错误的DHCP报文。

  • 在接口视图下配置
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number,进入接口视图。
    3. 配置异常报文检查功能

      • 执行命令undo dhcp anti-attack check magic-cookie,配置设备在收到DHCP报文时不检查magic-cookie字段的功能。

        缺省情况下,设备收到的DHCP报文时,不检查magic-cookie字段,直接转发字段错误的DHCP报文。

      • 执行命令undo dhcp anti-attack check udp-checksum

        配置设备在收到DHCP报文时不检查UDP头校验和的功能。

        缺省情况下,设备在收到DHCP报文时检查UDP头校验和,并丢弃校验和错误的DHCP报文。

(可选)配置强制DHCP服务器回复NAK拒绝响应报文

背景信息

DHCP客户端两步上线过程中,如果DHCP客户端请求的IP地址在地址池范围内、但是地址池内没有该DHCP客户端的租约记录,例如:无线用户在其他DHCP服务器获取IP地址后,漫游到当前DHCP服务器,原IP地址在当前DHCP服务器的地址池范围内;或者复位地址池,老用户重新上线。这种情况下,DHCP服务器收到DHCP客户端发送的DHCP Request报文时,会保持静默、不向DHCP客户端回复NAK拒绝响应报文。这就造成DHCP客户端要等到两步上线超时后,才能重新四步上线申请IP地址,导致IP地址获取缓慢。此时,可以配置命令dhcp server force response,强制DHCP服务器回复NAK拒绝响应报文,使DHCP客户端快速进入四步上线过程,重新申请IP地址。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp server force response,强制DHCP服务器回复NAK拒绝响应报文。

    缺省情况下,不会强制DHCP服务器回复NAK响应报文。

配置地址池

创建地址池

背景信息

接口地址池内的IP地址与此接口的IP地址属于同一网段,且地址池中地址只能分配给此接口下的客户端。全局地址池中地址可以分配给设备所有接口下的客户端。

创建地址池后,网段中的如下三个地址不参与自动分配:

操作步骤

  • 基于接口方式的地址池:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令ip address ip-address { mask | mask-length },配置接口的IP地址。

      接口地址所属的IP地址网段即为接口地址池。并且接口地址的掩码不能配置为31,否则会导致接口地址池配置失败。

  • 基于全局方式的地址池:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,创建全局地址池,同时进入全局地址池视图。

      缺省情况下,设备上没有创建任何全局地址池。

      配置的ip-pool-name作为标识不同地址池的名字。例如,为楼层1的员工创建一个名字为“global_f1”的全局地址池:
      [HUAWEI] ip pool global_f1

    3. 执行命令network ip-address [ mask { mask | mask-length } ],配置全局地址池可动态分配的IP地址范围。

      缺省情况下,未配置全局地址池可动态分配的IP地址范围。

      一个地址池中只能配置一个地址段,通过设定掩码长度可控制地址范围的大小。

      配置全局地址池可动态分配的IP地址范围时,请尽量保证该地址范围与DHCP Server接口或DHCP Relay接口地址的网段一致,以免分配错误的IP地址。

      配置地址池时,网络地址段必须是A、B、C三类IP地址中的一种,并且掩码不能配置为0、1、31和32。

    4. (可选)执行命令vpn-instance vpn-instance-name,配置地址池下的VPN实例。

      缺省情况下,地址池下没有配置VPN实例。

      正常情况下,为了避免IP地址冲突,一个地址池只能为一个网段的客户端分配IP地址。在BGP/MPLS IP VPN场景中,经常有不同VPN网络使用相同网段地址的情况。如果不同VPN网络中客户端通过同一个DHCP服务器获取IP地址,可以配置此步骤,使用同一个地址池为不同VPN网络中的客户端分配相同网段的IP地址。

(可选)修改地址池地址范围

背景信息

创建地址池后,用户可根据IP地址实际使用情况修改地址池的地址范围。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令dhcp server ip-range start-ip-address end-ip-address,指定DHCP Server预分配给DHCP Client的IP地址范围。
    5. 执行命令dhcp server mask { mask | mask-length },指定DHCP Server预分配给DHCP Client的IP地址的子网掩码。
  • 基于全局方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,进入全局地址池视图。
    3. 执行命令section section-id start-address [ end-address ],配置全局地址池中的IP地址段。

      IP地址池由一个或多个IP地址段组成,各个地址段内的IP地址不能有重叠。

      配置全局地址池中的IP地址段时,请遵循如下约束:

      • 如果先配置了network(IP地址池视图)命令,则section(IP地址池视图)命令设置的地址段范围必须在network(IP地址池视图)命令设置的地址范围之内。
      • 如果先配置了section(IP地址池视图)命令,则network(IP地址池视图)命令设置的地址范围中必须包含section(IP地址池视图)命令设置的地址段。

(可选)配置不参与自动分配的IP地址

背景信息

地址池中可以排除某些有特殊需求不能参与自动分配的IP地址。

命令gateway-listdhcp server gateway-list配置的网关地址不需要配置,设备自动将其加入到不参与自动分配的IP地址列表。

服务器连接客户端的接口地址不需要配置,地址分配时,设备自动将其置为冲突(Conflict)状态。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令dhcp server excluded-ip-address start-ip-address [ end-ip-address ],配置地址池中不参与自动分配的IP地址。

      缺省情况下,未配置地址池中不参与自动分配的IP地址。

      多次执行该命令,可以配置多个不参与自动分配的IP地址。

      例如,将192.168.1.10配置为不参与自动分配的地址:
      [HUAWEI-Vlanif100] dhcp server excluded-ip-address 192.168.1.10

  • 基于全局方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,进入全局地址池视图。
    3. 执行命令excluded-ip-address start-ip-address [ end-ip-address ],配置地址池中不参与自动分配的IP地址。

      缺省情况下,未配置地址池中不参与自动分配的IP地址。

      多次执行该命令,可以配置多个不参与自动分配的IP地址。

      例如,将192.168.1.10配置为不参与自动分配的地址:
      [HUAWEI-ip-pool-global_f1] excluded-ip-address 192.168.1.10

后续处理

若要扩大不参与自动分配的IP地址范围,可以再次配置本功能。若要缩小不参与自动分配的IP地址范围,则可以通过命令undo dhcp server excluded-ip-addressundo excluded-ip-address去除其中部分地址。

以全局地址池global1为例。按照如下步骤进行首次配置,指定10.10.10.10~10.10.10.30之间的IP地址不参与自动分配。
<HUAWEI> system-view
[HUAWEI] ip pool global1
[HUAWEI-ip-pool-global1] network 10.10.10.0 mask 24
[HUAWEI-ip-pool-global1] excluded-ip-address 10.10.10.10 10.10.10.30
[HUAWEI-ip-pool-global1] quit
  • 若要改为10.10.10.10~10.10.10.40之间的IP地址不参与自动分配,具体操作步骤如下:
    [HUAWEI] ip pool global1
[HUAWEI-ip-pool-global1] excluded-ip-address 10.10.10.10 10.10.10.40
[HUAWEI-ip-pool-global1] quit
  • 若要改为10.10.10.15~10.10.10.20之间的IP地址不参与自动分配,具体操作步骤如下:
    [HUAWEI] ip pool global1
[HUAWEI-ip-pool-global1] undo excluded-ip-address 10.10.10.10 10.10.10.14
[HUAWEI-ip-pool-global1] undo excluded-ip-address 10.10.10.21 10.10.10.30
[HUAWEI-ip-pool-global1] quit

(可选)配置为指定DHCP Client分配固定IP地址

背景信息

DHCP Server动态方式分配的IP地址是有租期的,租期时间到后,DHCP Client重新申请的地址可能会跟之前使用的地址不同。网络规划时,有些重要主机为了保证稳定性,需要使用固定的IP地址,这种情况下可以配置为指定DHCP Client分配固定IP地址。配置后DHCP Client的MAC地址与IP地址建立绑定关系,当此MAC的DHCP Client向DHCP Server申请地址时,DHCP Server会根据MAC地址找到绑定的固定IP地址分配给该DHCP Client。相比手工配置IP地址,通过DHCP方式静态配置避免人工配置发生错误,方便管理员统一维护管理。

  • 被绑定的IP地址需要确保没有被设置为不参与分配的IP地址。
  • 已占用的IP地址也支持配置静态绑定或者解绑定。配置静态绑定时,必须确保绑定的MAC地址与实际使用该IP地址的用户MAC地址保持一致。
  • IP地址与MAC地址绑定后,此IP地址不作租期管理,为无限长。已动态分配的IP地址配置静态绑定后,租期变为无限长;删除静态绑定关系后,租期重新与地址池下配置的租期保持一致。
DHCP方式静态分配IP地址、IPSG(具体配置请参见S2720, S5700, S6700 V200R019C10 配置指南-安全》 IP源防攻击IPSG)和静态ARP这三个功能都涉及到IP地址与MAC地址的绑定关系,但是其应用场景及实现原理不同,如表3-7所示。
表3-7 DHCP方式静态分配IP地址、IPSG和静态ARP的区别

功能

应用场景

实现原理

DHCP方式静态分配IP地址

设备作为DHCP服务器为客户端分配IP地址时,某些特殊客户端(例如服务器或PC)期望通过DHCP服务器获取固定的IP地址,可以在设备上配置为指定客户端分配固定IP地址。

配置后,客户端的MAC地址与IP地址建立关系表,当此MAC的客户端向DHCP服务器申请地址时,DHCP服务器会根据MAC地址找到绑定的固定IP地址分配给客户端。

IPSG
为了防止IP地址冒用或者ARP欺骗等攻击行为的发生,可以配置此功能:
  • IP地址冒用:攻击者使用自己的MAC地址,但是冒用他人的IP地址进行通信,以获取被攻击者的权限或者本应发送给被攻击者的报文。
  • ARP欺骗:攻击者冒用他人的MAC地址发送ARP报文,同样可以获取到本应发送给被攻击者的报文;或者冒用网关的MAC地址,使网络内所有主机都将报文发给自己。

配置后,设备上建立IP地址与MAC地址的关系表,设备在收到报文后,根据报文中的源IP地址查找关系表中相应的MAC地址,并且与帧头部包含的实际源MAC地址进行比较。如果两者不一致,则认为该报文是非法报文,并将其丢弃。

静态ARP
网络管理员手动配置IP地址和MAC地址之间的映射关系,其应用场景如下:
  • 为了将目的IP地址不在本网段的报文,穿过本网段的某个网关,实现到该IP地址的报文能通过该网关进行转发。
  • 当用户需要过滤掉一些非法的报文时,可以将这些非法报文的目的IP地址绑定到某个不存在的MAC地址。
  • 对于网络中重要的服务器等设备,为了实现报文转发的安全性,防止ARP泛洪等攻击。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。

配置后,设备上建立IP地址与MAC地址的关系表,当收到ARP请求报文解析IP地址对应的MAC地址时,将MAC地址填充到ARP报文中进行响应。

静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖,所以配置静态ARP表项可以增加通信的安全性。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令dhcp server static-bind ip-address ip-address mac-address mac-address [ description description ],配置为指定DHCP Client分配固定IP地址。

      缺省情况下,没有配置为指定DHCP Client分配固定IP地址。

  • 基于全局方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,进入全局地址池视图。
    3. 执行命令static-bind ip-address ip-address mac-address mac-address [ option-template template-name | description description ],配置为指定DHCP Client分配固定IP地址。

      缺省情况下,没有配置为指定DHCP Client分配固定IP地址。

(可选)修改地址租期

背景信息

地址池内IP地址的租期默认为1天。管理员可以根据网络需求修改地址租期。同一地址池中的地址租期相同,不同的地址池可以指定不同的地址租期。修改地址池租期后,新分配的IP地址使用修改后的租期;修改前已分配的IP地址在租约更新前仍使用之前的租期,在租约更新后,将使用修改后的租期。

BOOTP客户端不支持Option51(IP地址租期选项),分配给BOOTP客户端的IP地址租期是无限长,并且DHCP服务器不会回收该IP地址。

静态方式为指定客户端分配的IP地址可以一直使用,不受租期限制。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令dhcp server lease { day day [ hour hour [ minute minute ] ] | unlimited },配置IP地址租期。

      缺省情况下,IP地址的租期为1天。

  • 基于全局方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,进入全局地址池视图。
    3. 执行命令lease { day day [ hour hour [ minute minute ] ] | unlimited },配置IP地址租期。

      缺省情况下,IP地址的租期为1天。

检查配置结果

通过命令display ip pool,可以查看租约相关信息。其中,回显信息中的leaseleft项目分别表示配置的租约时长和剩余的租约时长。

(可选)配置地址池中冲突地址的自动回收功能

背景信息

DHCP服务器在给客户端分配IP地址时,网络中可能会存在部分主机因手工配置静态IP地址导致地址冲突的情况。在这种情况下,DHCP服务器会将这部分地址一直置为冲突地址,只有等可用地址分配完,DHCP服务器才会从冲突地址中选择可用的IP地址进行分配。为了尽快将冲突地址回收,管理员可以在设备上使能冲突地址自动回收功能,并配置自动回收的时间间隔。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令dhcp server conflict auto-recycle interval day day [ hour hour [ minute minute ] ],使能接口地址池中冲突地址的自动回收功能,并配置自动回收的时间间隔。

      缺省情况下,未使能接口地址池中冲突地址的自动回收功能。

  • 基于全局方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,进入全局地址池视图。
    3. 执行命令conflict auto-recycle interval day day [ hour hour [ minute minute ] ],使能全局地址池中冲突地址的自动回收功能,并配置自动回收的时间间隔。

      缺省情况下,未使能全局地址池中冲突地址的自动回收功能。

(可选)配置地址耗尽的告警功能

背景信息

地址池中地址耗尽时发送告警通知管理员地址将要耗尽。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令dhcp server alarm ip-used percentage alarm-resume-percentage alarm-percentage,配置地址池中地址耗尽的告警和告警恢复的百分比。

      缺省情况下,地址池中地址耗尽的告警恢复百分比值为50,告警百分比值为100。

  • 基于全局方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,进入全局地址池视图。
    3. 执行命令alarm ip-used percentage alarm-resume-percentage alarm-percentage,配置地址池中地址耗尽的告警和告警恢复的百分比。

      缺省情况下,地址池中地址耗尽的告警恢复百分比值为50,告警百分比值为100。

(可选)配置IP地址分配时记录日志的功能

背景信息

DHCP服务器向客户端分配IP地址时,记录地址分配的相关信息,有助于日常维护和出现故障时进行问题定位。

  • 配置服务器记录日志的功能后,大量DHCP客户端请求IP地址会导致日志频繁记录,可能影响设备性能。
  • IP地址分配日志记录在AM模块。查看日志信息必须开启信息中心功能,并且根据日志的等级、输出方向等情况,日志输出开关的缺省配置也不同。详细请参见《配置指南-设备管理配置》中的信息中心配置

    例如,地址池分配IP地址成功、续租IP地址成功、释放IP地址日志级别为informational,默认不记录到logbuffer,执行info-center source AM channel 4 log level informational命令修改地址池日志向logbuffer输出信息的级别,之后,使用命令display logbuffer就能够查看以上日志了。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令dhcp server logging [ allocation-fail | allocation-success | release | renew-fail | renew-success | detect-conflict | recycle-conflict ] *,开启DHCP Server分配IP地址时记录日志的功能。

      缺省情况下,DHCP Server分配IP地址时记录日志的功能处于关闭状态。

  • 基于全局方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,进入全局地址池视图。
    3. 执行命令logging [ allocation-fail | allocation-success | release | renew-fail | renew-success | detect-conflict | recycle-conflict ] *,开启DHCP Server分配IP地址时记录日志的功能。

      缺省情况下,DHCP Server分配IP地址时记录日志的功能处于关闭状态。

(可选)配置客户端的网关地址

背景信息

DHCP服务器上配置客户端的网关地址后,客户端会获取到服务器分配的网关地址,并自动生成到该网关地址的缺省路由。之后,客户端才能访问非本网段内的主机。如果DHCP服务器同时配置了Option121给客户端分配无分类静态路由,客户端只会据此生成路由,不会自动生成到网关的缺省路由。为了对流量进行负载分担或提高网络的可靠性,可以执行此任务配置多个网关。每个地址池最多可以配置8个网关地址。

在VRRP+DHCP的综合场景中,如果VRRP备份组设备作为DHCP服务器,则需要执行此任务配置客户端的网关地址为备份组虚拟IP地址。

如果DHCP服务器与DHCP客户端处于同一网段,并且DHCP服务器作为客户端网关时,可以不配置此任务。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令dhcp server gateway-list ip-address &<1-8>,配置需要分配给DHCP Client的网关地址。

      缺省情况下,接口地址池下未配置网关地址。

  • 基于全局方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,进入全局地址池视图。
    3. 执行命令gateway-list ip-address &<1-8>,配置DHCP Client的网关地址。

      缺省情况下,IP地址池视图下未配置网关地址。

  • 针对DHCP Option模板视图:

    1. 执行命令system-view,进入系统视图。

    2. 执行命令dhcp option template template-name,创建DHCP Option模板并进入DHCP Option模板视图。

      缺省情况下,未创建DHCP Option模板。

      当需要为静态客户端分配除IP地址以外的网络参数时,才需要配置DHCP Option模板。DHCP Option模板视图下配置的网络参数仅对静态客户端生效。对于静态客户端来说,如果DHCP Option模板视图和全局地址池视图下同时配置了某个网络参数,以DHCP Option模板视图下的配置为准。

      如果仅需要为静态客户端分配IP地址(请参见(可选)配置为指定DHCP Client分配固定IP地址),不需要配置DHCP Option模板。

    3. 执行命令gateway-list ip-address &<1-8>,配置DHCP客户端的网关地址。

      缺省情况下,未配置网关地址。

      如果还需要在DHCP Option模板视图下进行其他配置,不需要执行下面步骤,待其他配置完成后再执行下面配置。

    4. (可选)执行命令quit,返回系统视图。
    5. (可选)执行命令ip pool ip-pool-name,进入全局地址池视图。
    6. (可选)执行命令static-bind ip-address ip-address mac-address mac-address option-template template-name,为静态客户端绑定DHCP Option模板。

(可选)配置客户端的配置文件

背景信息

设备作为DHCP服务器,可以为客户端自动分配配置文件,例如,启动配置文件等。配置文件可以存放在DHCP服务器上或专门的文件服务器上。当配置文件存放在专门的文件服务器上时,DHCP服务器需要为客户端指定文件服务器的地址。通过(可选)配置自定义选项信息,也可以为客户端指定文件服务器的地址。

如果配置文件存放在指定的文件服务器上,需要保证DHCP客户端与获取配置文件的服务器之间路由可达。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令dhcp server bootfile bootfile,配置DHCP客户端的启动配置文件名称。

      缺省情况下,未配置DHCP客户端的启动配置文件名称。

    5. 执行命令dhcp server sname sname,配置DHCP客户端获取启动配置文件的服务器名称。

      缺省情况下,未配置DHCP客户端获取启动配置文件的服务器名称。

    6. 执行命令dhcp server next-server ip-address,指定客户端获取IP地址后下一步使用的文件服务器IP地址。

      缺省情况下,DHCP服务器未指定客户端下一步使用的文件服务器IP地址。

  • 基于全局方式:

    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,进入全局地址池视图。

    3. 执行命令bootfile bootfile,配置DHCP客户端的启动配置文件名称。

      缺省情况下,未配置DHCP客户端的启动配置文件名称。

    4. 执行命令sname sname,配置DHCP客户端获取启动配置文件的服务器名称。

      缺省情况下,未配置DHCP客户端获取启动配置文件的服务器名称。

    5. (可选)执行命令next-server ip-address ,配置客户端自动获取IP地址后下一步使用的文件服务器地址。

      缺省情况下,未配置客户端自动获取IP地址后下一步使用的文件服务器地址。

  • 针对DHCP Option模板视图:

    1. 执行命令system-view,进入系统视图。

    2. 执行命令dhcp option template template-name,创建DHCP Option模板并进入DHCP Option模板视图。

      缺省情况下,未创建DHCP Option模板。

      当需要为静态客户端分配除IP地址以外的网络参数时,才需要配置DHCP Option模板。DHCP Option模板视图下配置的网络参数仅对静态客户端生效。对于静态客户端来说,如果DHCP Option模板视图和全局地址池视图下同时配置了某个网络参数,以DHCP Option模板视图下的配置为准。

      如果仅需要为静态客户端分配IP地址(请参见(可选)配置为指定DHCP Client分配固定IP地址),不需要配置DHCP Option模板。

    3. 执行命令bootfile bootfile,配置DHCP客户端的启动配置文件名称。

      缺省情况下,未配置DHCP客户端的启动配置文件名称。

    4. 执行命令sname sname,配置DHCP客户端获取启动配置文件的服务器名称。

      缺省情况下,未配置DHCP客户端获取启动配置文件的服务器名称。

    5. (可选)执行命令next-server ip-address,配置客户端自动获取IP地址后下一步使用的文件服务器地址。

      缺省情况下,未配置客户端自动获取IP地址后下一步使用的文件服务器地址。

      如果还需要在DHCP Option模板视图下进行其他配置,不需要执行下面步骤,待其他配置完成后再执行下面配置。

    6. (可选)执行命令quit,返回系统视图。
    7. (可选)执行命令ip pool ip-pool-name,进入全局地址池视图。
    8. (可选)执行命令static-bind ip-address ip-address mac-address mac-address option-template template-name,为静态客户端绑定DHCP Option模板。

(可选)配置自定义选项信息

背景信息

不同厂商可以自定义选项信息。设备作为DHCP服务器可以实现为客户端分配厂商自定义的网络参数。设备作为DHCP服务器时,支持:
  • 根据客户端请求的Option选项为客户端分配网络参数:通过命令dhcp server option(基于接口方式)或option(基于全局方式)配置了Option选项,只有当客户端请求此选项时,设备才会提供此选项信息。
  • 强制插入选项信息为客户端分配网络参数:通过命令dhcp server force insert option(基于接口方式)或force insert option(基于全局方式)配置了Option选项,不管客户端是否请求了此选项,设备都会提供此选项信息。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. (可选)执行命令dhcp server trust option82,开启DHCP Server信任Option82选项功能。

      缺省情况下,设备信任Option82选项功能处于开启状态。

    3. (可选)执行命令dhcp anti-attack check duplicate option [ option-start [ to option-end ] ] &<1-254>,使能检查并丢弃具有重复Option选项的DHCP报文功能。

      缺省情况下,检查并丢弃具有重复Option选项的DHCP报文功能处于未使能状态。

    4. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    5. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    6. (可选)执行命令dhcp server force insert option code &<1-254>,配置DHCP服务器在回应DHCP客户端时,强制插入指定的Option字段信息。

      缺省情况下,未配置DHCP服务器在回应报文中强制插入指定的Option字段信息功能。

      配置了此步骤,不管客户端是否请求了此选项,设备都会提供此选项信息。

    7. 执行命令dhcp server option code [ sub-option sub-code ] { ascii ascii-string | hex hex-string | cipher cipher-string | ip-address ip-address &<1-8> },配置DHCP自定义选项。

      缺省情况下,未配置自定义选项。

      当Option内容包含密码信息时,配置为asciihex类型不安全,建议配置为cipher类型。同时,为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,并且密码长度不小于6个字符。

      配置了Option选项,只有当Client请求此选项时,设备才会提供此选项信息。

      有些Option选项是通过其他命令来配置的,不能通过自定义方式配置,如下表所示。
      表3-8 Option选项值与命令字的关系

      Option选项

      配置命令

      说明

      Option1

      ip address ip-address { mask | mask-length }中的参数mask-length

      子网掩码选项

      Option3

      ip address ip-address { mask | mask-length }中的参数ip-address

      网关地址选项

      Option6

      dhcp server dns-list ip-address &<1-8>

      DNS服务器地址选项

      Option15

      dhcp server domain-name(接口视图) domain-name

      域名选项

      Option44

      dhcp server nbns-list ip-address &<1-8>

      NetBios服务器地址选项

      Option46

      dhcp server netbios-type { b-node | h-node | m-node | p-node }

      NetBios节点类型选项

      Option50

      不需要在DHCP Server上配置

      请求的IP地址选项

      Option51

      dhcp server lease { day day [ hour hour [ minute minute ] ] | unlimited }

      IP地址租期时间选项

      Option52

      不需要在DHCP Server上配置

      Option附加选项

      Option53

      不需要在DHCP Server上配置

      DHCP消息类型选项

      Option54

      不需要在DHCP Server上配置

      服务器标识选项

      Option55

      不需要在DHCP Server上配置

      请求参数列表选项

      Option57

      不需要在DHCP Server上配置

      最大DHCP报文长度选项

      Option58

      不需要在DHCP Server上配置

      租期的T1时间选项(一般是租期时间的50%)

      Option59

      不需要在DHCP Server上配置

      租期的T2时间选项(一般是租期时间的87.5%)

      Option61

      不需要在DHCP Server上配置

      Client标识选项

      Option82

      不需要在DHCP Server上配置

      中继代理信息选项

      Option120

      dhcp server sip-server { ip-address ip-address &<1-2> | list domain-name &<1-2> }

      SIP服务器的IP地址

      Option121

      dhcp server option121 ip-address { ip-address mask-length gateway-address } &<1-8>

      无分类路由选项

      Option184

      dhcp server option184 { as-ip ip-address | fail-over ip-address dialer-string | ncp-ip ip-address | voice-vlan vlan-id }

      语音参数选项

  • 基于全局方式:

    • 针对全局地址池视图:

      1. 执行命令system-view,进入系统视图。

      2. (可选)执行命令dhcp server trust option82,开启DHCP Server信任Option82选项功能。

        缺省情况下,设备信任Option82选项功能处于开启状态。

      3. 执行命令ip pool ip-pool-name,进入全局地址池视图。

      4. (可选)执行命令force insert option code &<1-254>,配置DHCP服务器在回应DHCP客户端时,强制插入指定的Option字段信息。

        缺省情况下,未配置DHCP服务器在回应报文中强制插入指定的Option字段信息功能。

      5. 执行命令option code [ sub-option sub-code ] { ascii ascii-string | hex hex-string | cipher cipher-string | ip-address ip-address &<1-8> },配置DHCP自定义选项。

        缺省情况下,未配置自定义选项。

        当Option内容包含密码信息时,配置为asciihex类型不安全,建议配置为cipher类型。同时,为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,并且密码长度不小于6个字符。

        有些Option选项是通过其他命令来配置的,不能通过自定义方式配置,如下表所示。
        表3-9 Option选项值与命令字的关系

        Option选项

        配置命令

        说明

        Option1

        network(IP地址池视图) ip-address [ mask { mask | mask-length } ]中的mask-length

        子网掩码选项

        Option3

        gateway-list ip-address &<1-8>

        网关地址选项

        Option6

        dns-list ip-address &<1-8>

        DNS服务器地址选项

        Option15

        domain-name domain-name

        域名后缀选项

        Option44

        nbns-list ip-address &<1-8>

        NetBios服务器选项

        Option46

        netbios-type { b-node | h-node | m-node | p-node }

        NetBios节点类型选项

        Option50

        不需要在DHCP Server上配置

        请求的IP地址选项

        Option51

        lease { day day [ hour hour [ minute minute ] ] | unlimited }

        IP地址租期时间选项

        Option52

        不需要在DHCP Server上配置

        Option附加选项

        Option53

        不需要在DHCP Server上配置

        DHCP消息类型选项

        Option54

        不需要在DHCP Server上配置

        服务器标识选项

        Option55

        不需要在DHCP Server上配置

        请求参数列表选项

        Option57

        不需要在DHCP Server上配置

        最大DHCP报文长度选项

        Option58

        不需要在DHCP Server上配置

        租期的T1时间选项(一般是租期时间的50%)

        Option59

        不需要在DHCP Server上配置

        租期的T2时间选项(一般是租期时间的87.5%)

        Option61

        不需要在DHCP Server上配置

        Client标识选项

        Option82

        不需要在DHCP Server上配置

        中继代理信息选项

        Option120

        sip-server { ip-address ip-address &<1-2> | list domain-name &<1-2> }

        SIP服务器的IP地址

        Option121

        option121 ip-address { ip-address mask-length gateway-address } &<1-8>

        无分类路由选项

        Option184

        option184 { as-ip ip-address | fail-over ip-address dialer-string | ncp-ip ip-address | voice-vlan vlan-id }

        语音参数选项

    • 针对DHCP Option模板:

      1. 执行命令system-view,进入系统视图。

      2. 执行命令dhcp option template template-name,创建DHCP Option模板并进入DHCP Option模板视图。

        缺省情况下,未创建DHCP Option模板。

        当需要为静态客户端分配除IP地址以外的网络参数时,才需要配置DHCP Option模板。DHCP Option模板视图下配置的网络参数仅对静态客户端生效。对于静态客户端来说,如果DHCP Option模板视图和全局地址池视图下同时配置了某个网络参数,以DHCP Option模板视图下的配置为准。

        如果仅需要为静态客户端分配IP地址(请参见(可选)配置为指定DHCP Client分配固定IP地址),不需要配置DHCP Option模板。

      3. (可选)执行命令force insert option code &<1-254>,配置DHCP服务器在回应DHCP客户端时,强制插入指定的Option字段信息。

        缺省情况下,未配置DHCP服务器在回应报文中强制插入指定的Option字段信息功能。

      4. 执行命令option code [ sub-option sub-code ] { ascii ascii-string | hex hex-string | cipher cipher-string | ip-address ip-address &<1-8> },配置DHCP自定义选项。

        缺省情况下,未配置自定义选项。

        当Option内容包含密码信息时,配置为asciihex类型不安全,建议配置为cipher类型。同时,为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,并且密码长度不小于6个字符。

        有些Option选项是通过命令字来配置的,不能通过自定义方式配置,如表3-9所示。

      5. 执行命令option121 ip-address { ip-address mask-length gateway-address } &<1-8>,配置DHCP全局地址池分配给客户端的无分类静态路由。

        缺省情况下,未配置分配给客户端的无分类静态路由。

      6. 执行命令option184 { as-ip ip-address | fail-over ip-address dialer-string | ncp-ip ip-address | voice-vlan vlan-id },配置DHCP服务器下发给客户端的Option184字段内容。

        缺省情况下,未配置Option184字段内容。

        如果还需要在DHCP Option模板视图下进行其他配置,不需要执行下面步骤,待其他配置完成后再执行下面配置。

      7. (可选)执行命令quit,返回系统视图。
      8. (可选)执行命令ip pool ip-pool-name,进入全局地址池视图。
      9. (可选)执行命令static-bind ip-address ip-address mac-address mac-address option-template template-name,为静态客户端绑定DHCP Option模板。

(可选)配置DHCP服务器分配的DNS信息

背景信息

当管理员希望客户端的DNS配置通过DHCP方式动态获取时,可以执行此任务。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令dhcp server dns-list { ip-address &<1-8> | unnumbered interface interface-type interface-number },为DHCP Client指定DNS Server的IP地址。

      缺省情况下,未配置DNS Server地址。

      每个地址池最多可以配置8个DNS Server地址。

    5. 执行命令dhcp server domain-name domain-name,配置分配给DHCP Client的DNS域名后缀。

      缺省情况下,未配置DNS域名后缀。

  • 基于全局的方式:

    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,进入全局地址池视图。
    3. 执行命令dns-list ip-address &<1-8>,配置DHCP Client使用的DNS Server的IP地址。

      缺省情况下,未配置DNS Server地址。

      每个地址池最多可以配置8个DNS Server地址。

    4. 执行命令domain-name domain-name,配置为DHCP Client分配的域名后缀。

      缺省情况下,未配置DNS域名后缀。

  • 针对DHCP Option模板视图:

    1. 执行命令system-view,进入系统视图。

    2. 执行命令dhcp option template template-name,创建DHCP Option模板并进入DHCP Option模板视图。

      缺省情况下,未创建DHCP Option模板。

      当需要为静态客户端分配除IP地址以外的网络参数时,才需要配置DHCP Option模板。DHCP Option模板视图下配置的网络参数仅对静态客户端生效。对于静态客户端来说,如果DHCP Option模板视图和全局地址池视图下同时配置了某个网络参数,以DHCP Option模板视图下的配置为准。

      如果仅需要为静态客户端分配IP地址(请参见(可选)配置为指定DHCP Client分配固定IP地址),不需要配置DHCP Option模板。

    3. 执行如下命令为DHCP客户端配置DNS服务器的IP地址和DNS域名后缀:

      • 执行命令dns-list ip-address &<1-8>,配置DHCP客户端使用的DNS服务器的IP地址。

        缺省情况下,未配置DNS服务器地址。

        每个地址池最多可以配置8个DNS服务器地址。

      • 执行命令domain-name domain-name,配置为DHCP客户端分配的域名后缀。

        缺省情况下,未配置DNS域名后缀。

      如果还需要在DHCP Option模板视图下进行其他配置,不需要执行下面步骤,待其他配置完成后再执行下面配置。

    4. (可选)执行命令quit,返回系统视图。
    5. (可选)执行命令ip pool ip-pool-name,进入全局地址池视图。
    6. (可选)执行命令static-bind ip-address ip-address mac-address mac-address option-template template-name,为静态客户端绑定DHCP Option模板。

(可选)配置DHCP服务器分配的NetBIOS信息

背景信息

当管理员希望客户端的NetBIOS配置通过DHCP方式动态获取时,可以执行此任务。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行如下命令为DHCP Client配置NetBIOS Server的IP地址和NetBIOS节点类型:

      • 执行命令dhcp server nbns-list ip-address &<1-8>,配置DHCP Client的NetBIOS Server的IP地址。

        缺省情况下,未配置NetBIOS Server地址。

        每个地址池最多可以配置8个NetBIOS Server的IP地址。

      • 执行命令dhcp server netbios-type { b-node | h-node | m-node | p-node },配置DHCP Client的NetBIOS节点类型。

        缺省情况下,未配置NetBIOS节点类型。

  • 基于全局方式:

    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,进入全局地址池视图。
    3. 执行如下命令为DHCP Client配置NetBIOS Server的IP地址和NetBIOS节点类型:

      • 执行命令nbns-list ip-address &<1-8>,配置DHCP Client的NetBIOS Server地址。

        缺省情况下,未配置NetBIOS Server地址。

        每个地址池最多可以配置8个NetBIOS Server地址。

      • 执行命令netbios-type { b-node | h-node | m-node | p-node },配置DHCP Client的NetBIOS节点类型。

        缺省情况下,未配置NetBIOS节点类型。

  • 针对DHCP Option模板视图:

    1. 执行命令system-view,进入系统视图。

    2. 执行命令dhcp option template template-name,创建DHCP Option模板并进入DHCP Option模板视图。

      缺省情况下,未创建DHCP Option模板。

      当需要为静态客户端分配除IP地址以外的网络参数时,才需要配置DHCP Option模板。DHCP Option模板视图下配置的网络参数仅对静态客户端生效。对于静态客户端来说,如果DHCP Option模板视图和全局地址池视图下同时配置了某个网络参数,以DHCP Option模板视图下的配置为准。

      如果仅需要为静态客户端分配IP地址(请参见(可选)配置为指定DHCP Client分配固定IP地址),不需要配置DHCP Option模板。

    3. 执行如下命令为DHCP客户端配置NetBIOS服务器的IP地址和NetBIOS节点类型:

      • 执行命令nbns-list ip-address &<1-8>,配置DHCP客户端的NetBIOS服务器地址。

        缺省情况下,未配置NetBIOS服务器地址。

        每个地址池最多可以配置8个NetBIOS服务器地址。

      • 执行命令netbios-type { b-node | h-node | m-node | p-node },配置DHCP客户端的NetBIOS节点类型。

        缺省情况下,未配置NetBIOS节点类型。

      如果还需要在DHCP Option模板视图下进行其他配置,不需要执行下面步骤,待其他配置完成后再执行下面配置。

    4. (可选)执行命令quit,返回系统视图。
    5. (可选)执行命令ip pool ip-pool-name,进入全局地址池视图。
    6. (可选)执行命令static-bind ip-address ip-address mac-address mac-address option-template template-name,为静态客户端绑定DHCP Option模板。

(可选)配置DHCP服务器分配的SIP服务器的IP地址

背景信息

在DHCP服务器的地址池上指定SIP服务器的IP地址,DHCP服务器在为DHCP客户端分配IP地址的同时也指定了SIP服务器的IP地址。

操作步骤

  • 基于接口方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图

      S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持以太网子接口。

    3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。

    4. 执行命令dhcp server sip-server { ip-address ip-address &<1-2> | list domain-name &<1-2> },配置为DHCP Client分配的SIP Server的IP地址。

      缺省情况下,接口地址池下未配置为DHCP Client分配的SIP Server的IP地址。

  • 基于全局方式:
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip pool ip-pool-name,进入全局地址池视图。
    3. 执行命令sip-server { ip-address ip-address &<1-2> | list domain-name &<1-2> },配置为DHCP Client分配的SIP Server的IP地址。

      缺省情况下,全局地址池下未配置为DHCP Client分配的SIP Server的IP地址。

  • 针对DHCP Option模板视图:

    1. 执行命令system-view,进入系统视图。

    2. 执行命令dhcp option template template-name,创建DHCP Option模板并进入DHCP Option模板视图。

      缺省情况下,未创建DHCP Option模板。

      当需要为静态客户端分配除IP地址以外的网络参数时,才需要配置DHCP Option模板。DHCP Option模板视图下配置的网络参数仅对静态客户端生效。对于静态客户端来说,如果DHCP Option模板视图和全局地址池视图下同时配置了某个网络参数,以DHCP Option模板视图下的配置为准。

      如果仅需要为静态客户端分配IP地址(请参见(可选)配置为指定DHCP Client分配固定IP地址),不需要配置DHCP Option模板。

    3. 执行命令sip-server { ip-address ip-address &<1-2> | list domain-name &<1-2> },配置为DHCP Client分配的SIP Server的IP地址。

      缺省情况下,全局地址池下未配置为DHCP Client分配的SIP Server的IP地址。

      如果还需要在DHCP Option模板视图下进行其他配置,不需要执行下面步骤,待其他配置完成后再执行下面配置。

    4. (可选)执行命令quit,返回系统视图。
    5. (可选)执行命令ip pool ip-pool-name,进入全局地址池视图。
    6. (可选)执行命令static-bind ip-address ip-address mac-address mac-address option-template template-name,为静态客户端绑定DHCP Option模板。

检查DHCP服务器的配置结果

操作步骤

  • 执行如下命令,查看当前地址池的分配信息:

    • 针对接口地址池:

      执行命令display ip pool [ interface interface-pool-name [ start-ip-address [ end-ip-address ] | all | conflict | expired | used ] ]

    • 针对全局地址池:

      执行命令display ip pool [ name ip-pool-name [ start-ip-address [ end-ip-address ] | all | conflict | expired | used [ user-type { dhcp | pppoe | l2tp | ipsec | ssl-vpn | ppp } ] ] ]

    通过参数conflict,可以查看地址池中发生冲突的IP地址信息。

    通过参数expired,可以查看地址池中过期的IP地址信息。

    通过参数used,可以查看地址池中已使用的IP地址信息。

  • 执行命令display dhcp server database,查看DHCP数据保存的存储器路径。
  • 执行命令display dhcp option template [ name template-name ],查看DHCP Option模板的配置信息。
  • 执行命令display dhcp server configuration,查看DHCP服务器的配置信息。
翻译
English
下载文档
更新时间:2021-10-20

文档编号:EDOC1100127127

浏览量:35922

下载量:1246

平均得分:
本文档适用于这些产品

相关版本

相关文档

数字签名

数字签名验证工具
分享
上一页 下一页
华为亿家APP下载 华为亿家APP下载

版权所有 © 华为技术有限公司 1998-2021。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: