交換機(jī)利用DHCP Relay進(jìn)行address-check功能的配置
DHCP Relay進(jìn)行address-check功能的配置過(guò)程如下:
一 組網(wǎng)需求
1.在交換機(jī)上啟動(dòng)VLAN接口下用戶(hù)地址合法性的檢查,利用配置DHCP中繼的安全地址表項(xiàng),使配置了DHCP Relay的VLAN內(nèi)的合法固定IP地址用戶(hù)能夠通過(guò)DHCP安全特性的地址合法性檢查;
2.SwitchA作為DHCP Server,SwitchB使能DHCP Relay功能。在SwitchB上開(kāi)啟address-check功能,PC2的mac地址為0015-c50d-20cf,手動(dòng)設(shè)置PC2的ip地址為192.168.1.3/24。
二 組網(wǎng)圖
三 配置步驟
1.全局開(kāi)啟DHCP功能
[H3C]dhcp enable
2.指定DHCP Server組1所采用的DHCP Server的IP地址
[H3C]dhcp-server 1 ip 192.168.0.1
3.配置DHCP Relay到DHCP Server的接口地址
[H3C]vlan 2
[H3C-vlan2]port e1/2
[H3C]int vlan 2
[H3C-Vlan-interface2]ip address 192.168.0.2 255.255.255.0
4.配置DHCP Relay到PC的接口地址
[H3C]vlan 3
[H3C-vlan3]port e1/3 e1/4
[H3C]int vlan 3
[H3C-Vlan-interface3]ip address 192.168.1.1 255.255.255.0
5.指定VLAN接口開(kāi)啟relay功能
[H3C-Vlan-interface3] dhcp select relay
6.歸屬到DHCP Server組1
[H3C-Vlan-interface3] dhcp-server 1
7.此時(shí)開(kāi)啟交換機(jī)上的address-check功能
[H3C-Vlan-interface3]dhcp relay security address-check enable
則手動(dòng)設(shè)置的PC2:192.168.1.3將不能上網(wǎng)
8.在安全表項(xiàng)中添加PC2
[H3C]dhcp relay security 192.168.1.3 0015-c50d-20cf static
這樣PC2就能上網(wǎng)了。
四 配置關(guān)鍵點(diǎn)
1.當(dāng)PC機(jī)進(jìn)行DHCP獲取IP地址的過(guò)程時(shí),作為DHCP Relay的交換機(jī)會(huì)記錄PC機(jī)的MAC地址,以及DHCP Server所分配給PC機(jī)的IP地址,同時(shí)建立一個(gè)動(dòng)態(tài)的DHCP Relay Security表項(xiàng)。因此,可以利用這一特性,在交換機(jī)上采用DHCP Relay Security命令,來(lái)手工添加PC機(jī)的IP地址和MAC地址表項(xiàng),而沒(méi)有動(dòng)態(tài)分配的PC地址則不能上網(wǎng),通過(guò)此方法可以防止用戶(hù)手動(dòng)設(shè)置靜態(tài)ip地址。同時(shí)可手工添加PC機(jī)的IP地址和MAC地址表項(xiàng),來(lái)達(dá)到靜態(tài)地址綁定的目的;
2.配置時(shí)必須保證路由可達(dá);
3.支持此功能的設(shè)備包括:H3C 3600、H3C 5600、Quidway S3500、Quidway S3900、Quidway S5600和Quidway S3526系列交換機(jī)。
【編輯推薦】
