思科dhcp实例与配置.doc

注明这是zt,以前的一个高手发的我存了下来C3550配置作为DHCP服务器工程实例 作DHCP服务器,因为当时在配置3550作为DHCP中继代理时顺便测试了一把将3550配置为DHCP服务器并获通过,因此这里将配置过程写出来,供大家参考.网络环境：一台3550EMI交换机，划分三个vlan,vlan2 为服务器所在网络，命名为server,IP地址段为,子网掩码:,网关:,域服务器为windows 2000 advance server,同时兼作DNS服务器，IP地址为0,vlan3为客户机1所在网络，IP地址段为,子网掩码:,网关:命名为work01,vlan4为客户机2所在网络,命名为work02,IP地址段为,子网掩码:,网关:,3550作DHCP服务器,端口1-8划到VLAN 2，端口9-16划分到VLAN 3,端口17-24划分到VLAN 4.DHCP服务器实现功能:各VLAN保留2-10的IP地址不分配置,例如:的网段,保留至0的IP地址段不分配.安全要求:VLAN 3和VLAN 4 不允许互相访问,但都可以访问服务器所在的VLAN 2,默认访问控制列表的规则是拒绝所有包.配置命令及步骤如下：第一步：创建VLAN：SwitchenSwitch#Vlan DatabaseSwitch(Vlan)Vlan 2 Name serverSwitch(Vlan)Vlan 3 Name work01Switch(vlan)Vlan 4 Name work02第二步：设置VLAN IP地址：Switch#Config TSwitch(Config)Int Vlan 2Switch(Config-vlan)Ip Address Switch(Config-vlan)No ShutSwitch(Config-vlan)Int Vlan 3Switch(Config-vlan)Ip Address Switch(Config-vlan)No ShutSwitch(Config-vlan)Int Vlan 4Switch(Config-vlan)Ip Address Switch(Config-vlan)No ShutSwitch(Config-vlan)Exit/*注意：由于此时没有将端口分配置到VLAN2，3，4，所以各VLAN会DOWN掉，待将端口分配到各VLAN后，VLAN会起来*/第三步：设置端口全局参数Switch(Config)Interface Range Fa 0/1 - 24Switch(Config-if-range)Switchport Mode AccessSwitch(Config-if-range)Spanning-tree Portfast第四步：将端口添加到VLAN2，3，4中/*将端口1-8添加到VLAN 2*/Switch(Config)Interface Range Fa 0/1 - 8Switch(Config-if-range)Switchport Access Vlan 2/*将端口9-16添加到VLAN 3*/Switch(Config)Interface Range Fa 0/9 - 16Switch(Config-if-range)Switchport Access Vlan 3/*将端口17-24添加到VLAN 4*/Switch(Config)Interface Range Fa 0/17 - 24Switch(Config-if-range)Switchport Access Vlan 4Switch(Config-if-range)Exit/*经过这一步后，各VLAN会起来*/第五步：配置3550作为DHCP服务器/*VLAN 2可用地址池和相应参数的配置,有几个VLAN要设几个地址池*/Switch(Config)Ip Dhcp Pool Test01/*设置可分配的子网*/Switch(Config-pool)Network /*设置DNS服务器*/Switch(Config-pool)Dns-server 0/*设置该子网的网关*/Switch(Config-pool)Default-router /*配置VLAN 3所用的地址池和相应参数*/Switch(Config)Ip Dhcp Pool Test02Switch(Config-pool)Network Switch(Config-pool)Dns-server 0Switch(Config-pool)Default-router /*配置VLAN 4所用的地址池和相应参数*/Switch(Config)Ip Dhcp Pool Test03Switch(Config-pool)Network Switch(Config-pool)Dns-server 0Switch(Config-pool)Default-router 第六步:设置DHCP保留不分配的地址Switch(Config)Ip Dhcp Excluded-address 0Switch(Config)Ip Dhcp Excluded-address 0Switch(Config)Ip Dhcp Excluded-address 0第七步:启用路由/*路由启用后,各VLAN间主机可互相访问*/Switch(Config)Ip Routing第八步:配置访问控制列表Switch(Config)access-list 103 permit ip 55 55Switch(Config)access-list 103 permit ip 55 55Switch(Config)access-list 103 permit udp any any eq bootpcSwitch(Config)access-list 103 permit udp any any eq tftpSwitch(Config)access-list 103 permit udp any eq bootpc anySwitch(Config)access-list 103 permit udp any eq tftp anySwitch(Config)access-list 104 permit ip 55 55Switch(Config)access-list 104 permit ip 55 55Switch(Config)access-list 104 permit udp any eq tftp anySwitch(Config)access-list 104 permit udp any eq bootpc anySwitch(Config)access-list 104 permit udp any eq bootpc anySwitch(Config)access-list 104 permit udp any eq tftp any第九步:应用访问控制列表/*将访问控制列表应用到VLAN 3和VLAN 4,VLAN 2不需要*/Switch(Config)Int Vlan 3Switch(Config-vlan)ip access-group 103 outSwitch(Config-vlan)Int Vlan 4Switch(Config-vlan)ip access-group 104 out第十步：结束并保存配置Switch(Config-vlan)EndSwitch#Copy Run Start同时为多个VLAN的客户机分配地址2.VLAN内有部分地址采用手工分配的方式3.为客户指定网关、Wins服务器等4.VLAN 2的地址租用有效期限为1天,其它为3天5.按MAC地址为特定用户分配指定的IP地址ip dhcp excluded-address 9 /不用于动态地址分配的地址ip dhcp excluded-address 40 54ip dhcp excluded-address 9!ip dhcp pool global /global是pool name， 由用户指定network /动态分配的地址段domain-name /为客户机配置域后缀dns-server /为客户机配置dns服务器netbios-name-server /为客户机配置wins服务器netbios-node-type h-node /为客户机配置节点模式（影响名称解释的顺利,如h-node=先通过wins服务器解释.）lease 3 /地址租用期限: 3天ip dhcp pool vlan1network /本pool是global的子pool, 将从global pool继承domain-name等optiondefault-router 00 01 /为客户机配置默认网关!ip dhcp pool vlan2 /为另一VLAN配置的poolnetwork default-router 00 01 lease 1!ip dhcp pool vlan1_john /总是为MAC地址为.的机器分配.地址host 1 client-identifier 010050.bade.6384 /client-identifier=01加上客户机网卡地址!ip dhcp pool vlan1_tomhost 0 client-identifier 010010.3ab1.eac8相关的DHCP调试命令no service dhcp /停止DHCP服务默认为启用DHCP服务sh ip dhcp binding /显示地址分配情况show ip dhcp conflict /显示地址冲突情况debug ip dhcp server events | packets | linkage /观察DHCP服务器工作情况配置DHCP地址池、附加信息以及租约期限DHCP服务器的数据库被组织成一个树形结构，树根是用于动态分配的所有网络段的地址池，树枝是子网地址池，树叶是手工绑定给节点的地址。具体操作步骤如下：首先登陆到Cisco 3640路由器上：ghqenablePassword(输入路由器的特权口令)ghq #config terminal (进入配置模式)Enter configuration commands one per line.End with CNTL/Z.ghqconfig # ip dhcp pool global（配置一个根地址池，global是地址池的名称，你可以采用有意义的字符串来表示）ghq dhcp-config #network （动态分配的地址段）ghqdhcp-config #domain-name （为客户机配置域后缀）ghqdhcp-config #dns-server （为客户机配置DNS服务器）ghqdhcp-config #netbios-name-server （为客户机配置wins服务器）ghqdhcp-config #netbios-node-type h-node（为客户机配置h节点模式）ghqdhcp-config #lease 30 （地址租用期为30天）ghqdhcp-config #ip dhcp pool vlan1 （为VLAN1配置地址池，本池是global池的子池，将从global继承域后缀、DNS服务器、wins服务器等参数）ghqdhcp-config #network （VLAN1动态分配192.168.1这个网段内可以被分配的地址，没有被排除的地址）ghqdhcp-config#default-router 54 （为客户机配置默认的网关，即VLAN1的IP地址）ghqdhcp-config#ip dhcp pool vlan2 （为VLAN2配置地址池，本池是global池的子池，将从global继承域后缀、DNS服务器、wins服务器等可继承的参数）ghqdhcp-config#network ghqdhcp-config#default-router 54设置不能用于动态分配的IP地址在整个网络中，有些IP地址需要静态的指定给一些特定的设备，例如路由器的端口、DNS服务器、wins服务器以及VLAN的地址等。显然，这些静态IP地址是不能用于动态分配的，这就需要将它们排除掉。其步骤如下：ghqconfig#ip dhcp excluded-address （IP地址 至不能用于动态分配）ghqconfig# ip dhcp excluded-address 54（IP地址54固定为VLAN1的地址，不能用于动态分配）ghqconfig# ip dhcp excluded-address 54（IP地址54固定为VLAN2的地址，不能用于动态分配）设置DHCP数据库代理DHCP数据库代理是用于存储DHCP绑定信息的一台主机，它可以是FTP、TFTP或者是RCP服务器。当然，如有必要，你可以配置多个DHCP数据库代理。同样，不配置DHCP数据库代理也是允许的，但这是以不能在DHCP数据库代理上存储地址冲突日志为代价的。如果我们不想配置数据库代理，只要取消掉地址冲突日志的记录功能即可，操作命令如下：ghqconfig# no ip dhcp conflict logging （取消地址冲突记录日志）配置路由器的静态路由表要使客户机能从用作DHCP Server的路由器中自动获得IP地址，首要条件就是各个VLAN中的客户机都能和路由器通信，因此首先就需要在路由器中设置一个路由以使路由器能和各个客户机通信。我们可以按如下设置 ：ghqconfig#ip route FastEthernet0（FastEthernet0为路由器和内网相连的以太网接口，该命令的作用是在以太网接口和VLAN1 54间建立一条静态路由。）ghqconfig#ip route FastEthernet0（该命令在以太网接口和VLAN2 54间建立一条静态路由）设置好之后，在配置模式中键入EXIT命令回到特权模式下，Ping一下VLAN1和VLAN2的IP地址54和54，如果能够Ping通则表明配置正确，可以直接进入下一步的保存过程。在交换机上为不同的VLAN指定DHCP服务器地址这一步骤只须在不同的VLAN中通过设置IP HELPER-ADDRESS即可搞定，指令如下：switchenable（进入交换机的特权模式）Password switch #config t （进入配置模式）Enter configuration commandsone per line.End with CNTL/Z.switch config#interface vlan1 （配置VLAN1）switch config-if#ip helper-address （指定DHCP服务器的地址，即路由器的地址）ghqconfig-if#interface vlan2 （配置VLAN2）ghqconfig-if#ip helper-address 对所有直接连到客户机的二层访问端口开启Portfast功能要使客户机正确获得IP地址，就需要将和客户机相连的交换机端口的Portfast功能打开（Cisco 2950）。这里需要特别注意的是，只能在连接一个单一客户机的二层端口上开启该功能，如果在一个连接到交换机或集线器的端口上开启该功就有可能引起广播风暴或“地址学习”问题。开启Portfast功能的步骤如下：switch #configure terminalswitch config#interface interface-idswitch config-if#spanning-tree portfast （开启portfast功能）switchconfig-if #end经20.1.使用IP Helper Addresses命令提问 配置路由器对DHCP Request转发的支持回答Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#interface Ethernet0Router1(config-if)#ip helper-address Router1(config-if)#ip helper-address Router1(config-if)#exitRouter1(config)#endRouter1#注释 使用IP Helper Address命令把路由器配置成为一个DHCP代理服务器，转发客户端的DHCP Request至配置的ip helper address。20.2.限制IP Helper Addresses命令的影响 提问 配置IP Helper Address命令以后导致链路利用率增高或者DHCP服务器负荷增高回答Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#no ip forward-protocol udp tftpRouter1(config)#no ip forward-protocol udp nameserverRouter1(config)#no ip forward-protocol udp domainRouter1(config)#no ip forward-protocol udp timeRouter1(config)#no ip forward-protocol udp netbios-nsRouter1(config)#no ip forward-protocol udp netbios-dgmRouter1(config)#no ip forward-protocol udp tacacsRouter1(config)#endRouter1#注释 缺省情况下IP Helper命令会转发很多UDP广播数据包，不仅仅是DHCP数据包，并且不能针对不同的服务器转发不同的广播包20.3.使用DHCP来动态配置路由器IP地址提问 配置路由器动态获得IP地址回答Router1#configure terminalEnter configuration commands, one per line.End with CNTL/Z.Router1(config)#interface FastEthernet0/1Router1(config-if)#ip address dhcp Router1(config-if)#endRouter1#Interface FastEthernet0/1 assigned DHCP address 7, mask Router1#注释 在12.2(T之前此命令仅仅适用于以太网接口。从12.3(T以后可以对DHCP选项进行控制，下例配置为不获得DNS服务器Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#interface FastEthernet0/1Router1(config-if)#no ip dhcp client request dns-nameserverRouter1(config-if)#end另外对于获得的缺省路由，管理距离为254S* /0 254/0 via 从12.3(4)T开始增加了对获得地址释放和重新获得的支持Router1#release dhcp FastEthernet0/1Router1#renew dhcp FastEthernet0/120.4.通过DHCP来对客户端进行动态IP地址分配提问 配置路由器成为DHCP服务器回答Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#service dhcpRouter1(config)#ip dhcp pool /24Router1(dhcp-config)#network Router1(dhcp-config)#default-router Router1(dhcp-config)#exitRouter1(config)#ip dhcp excluded-address 0Router1(config)#ip dhcp excluded-address 00 55Router1(config)#endRouter1#注释 注意的是要配置excluded命令来排除某些地址，防止出现地址冲突20.5.配置DHCP的配置选项提问 配置更多的DHCP配置选项提供给客户端回答Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#ip dhcp pool ORAserverRouter1(dhcp-config)#host 4 Router1(dhcp-config)#client-name bigserverRouter1(dhcp-config)#default-router Router1(dhcp-config)#domain-name Router1(dhcp-config)#dns-server Router1(dhcp-config)#netbios-name-server Router1(dhcp-config)#netbios-node-type h-nodeRouter1(dhcp-config)#option 66 ip Router1(dhcp-config)#option 33 ip Router1(dhcp-config)#option 31 hex 01Router1(dhcp-config)#lease 2Router1(dhcp-config)#exitRouter1(config)#endRouter1#注释 Option 66 定义TFTP服务器; Option 33定义静态路由; Option 31定义客户端使用IRDP.20.6.配置DHCP的分配时长 提问 修改缺省DHCP分配时长回答Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#ip dhcp pool /24Router1(dhcp-config)#lease 2 12 30 Router1(dhcp-config)#exitRouter1(config)#endRouter1#注释 缺省分配为一天，配置选项为天，小时，分钟20.7.分配静态IP地址提问 每次都分配给某个特定设备特定IP地址回答Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#ip dhcp pool IANRouter1(dhcp-config)#host 3 Router1(dhcp-config)#client-identifier 0100.0103.85e9.87Router1(dhcp-config)#client-name win2kRouter1(dhcp-config)#default-router Router1(dhcp-config)#domain-name Router1(dhcp-config)#dns-server Router1(dhcp-config)#exitRouter1(config)#endRouter1#注释 这里通过MAC地址来绑定某个IP地址。Client-identifier后面跟的是MAC地址，不过比传统MAC地址多了0100，代表是以太网，对于更多的媒介类型值参考RFC 3232中的Number Hardware Type部分Router1#show ip dhcp binding IP address Hardware address Lease expiration Type3 0100.0103.85e9.87 Infinite Manual2 0100.50da.2a5e.a2 Apr 11 2006 09:00 PM Automatic3 0100.0103.ea1b.ed Apr 11 2006 08:58 PM Automatic20.8.配置一个DHCP 数据库客户端提问 在另一个设备上备份当前的DHCP数据库回答FTP方式Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#ip dhcp database ftp:/dhcp:bindsave/dhcp-leasesRouter1(config)#endRouter1#TFTP 方式Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#ip dhcp database t/dhcp-leasesRouter1(config)#endRouter1#RCP方式Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#ip dhcp database rcp:/dhcp/dhcp-leasesRouter1(config)#endRouter1#注释 通常DHCP数据库保存于内存，如果重启就会丢失，可以使用上述方式进行备份从而不会丢失，通过下述命令验证Router1#show ip dhcp database URL : ftp:/dhcp:bindsave/dhcp-leasesRead : NeverWritten: Apr 09 2006 10:24 PMStatus : Last write succeeded. Agent information is up-to-date.Delay : 300 secondsTimeout: 300 secondsFailures : 1Successes: 3020.9.在同一子网配置多个DHCP服务器提问 在同一子网配置多个DHCP服务器来增加可用性回答Router1:Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#ip dhcp pool /24Router1(dhcp-config)#network Router1(dhcp-config)#default-router Router1(dhcp-config)#domain-name Router1(dhcp-config)#dns-server Router1(dhcp-config)#exitRouter1(config)#ip dhcp excluded-address 9Router1(config)#ip dhcp excluded-address 50 54Router1(config)#ip dhcp database ftp:/dhcp:bindsave/dhcp-leases-rtr1Router1(config)#endRouter1#Router2:Router2#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router2(config)#ip dhcp pool /24 Router2(dhcp-config)#network Router2(dhcp-config)#default-router Router2(dhcp-config)#domain-name Router2(dhcp-config)#dns-server Router2(dhcp-config)#exitRouter2(config)#ip dhcp excluded-address 49Router2(config)#ip dhcp database ftp:/dhcp:bindsave/dhcp-leases-rtr2Router2(config)#endRouter2#注释 要确保配置的地址池不重复，Router1 分配地址为从0到49, Router2 分配地址为从 50 到54,20.10.DHCP静态映射提问 根据某个文本文件来进行IP地址的静态指配回答先在TFTP服务器上创建此文本文件Freebsd% cat /tftpboot/dhcp.static *time* Aug 17 2006 03:52 PM*version* 2!IP address Type Hardware address Lease expiration6 /24 id 0100.104b.33da.74 Infinite7 /24 id 0100.0dbc.eff6.38 Infinite8 /24 id 0100.0a5e.4001.27 Infinite9 /24 id 0100.0331.327e.41 Infinite0 /24 id 0100.0d60.b21a.4c Infinite *end*Freebsd%路由器配置Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#ip dhcp pool OREILLYRouter1(dhcp-config)#origin file t/dhcp.staticRouter1(dhcp-config)#default-router Router1(dhcp-config)#dns-server Router1(dhcp-config)#domain-name Router1(dhcp-config)#lease 3Router1(dhcp-config)#endRouter1#注释 20.7讲到的静态地址分配需要一个特定的DHCP Pool，扩展性不强，从12.3(11)T以后可以使用特定的文本文件来进行指配，不过必须遵照一定的格式。如果文本文件修改后需要生效，必须先no service dhcp 来停止DHCP服务然后service dhcp 命令重新启用来生效20.11. 安全DHCP IP地址指派提问 同步ARP和DHCP地址绑定来防止出现IP地址欺骗回答Router1#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Router1(config)#ip dhcp pool OREILLYRouter1(dhcp-config)#update arpRouter1(dhcp-config)#endRouter1#注释 从12.2(15)T开始思科引入了安全DHCP IP地址指派（DHCP secured IP address assignment），启用此特性后会针对每个DHCP绑定增加一个安全ARP条目，从而防止对此条目的修改，即使使用clear arp-cache命令也会保证此条目不被清除20.12.显示DHCP状态提问 显示DHCP服务器的状态回答显示绑定和相应的分配时长Router1#show ip dhcp binding显示地址冲突Router1#show ip dhcp conflict显示数据库状态Router1#show ip dhcp database显示全局DHCP数据统计Router1#show ip dhcp server statistics注释Router1#show ip dhcp server statistics Memory usage 17996Address pools 4Database agents 1Automatic bindings 2Manual bindings 1Expired bindings 3Malformed messages 0Message ReceivedBOOTREQUEST 0