8500-网络协议操作.doc

Quidway S8500系列路由交换机 操作手册 第一分册网络协议目 录目 录第1章 IP地址配置1-11.1 IP地址简介1-11.1.1 IP地址的分类和表示1-11.1.2 子网和掩码1-21.2 IP地址配置1-31.2.1 配置主机名和对应的IP地址1-31.2.2 配置VLAN接口的IP地址1-41.3 IP地址的显示和调试1-41.4 IP地址配置举例1-51.5 IP地址配置排错1-5第2章 ARP配置2-12.1 ARP简介2-12.2 ARP配置2-22.2.1 手工添加/删除静态ARP映射项2-22.2.2 配置动态ARP老化定时器的时间2-32.2.3 使能/关闭ARP表项的检查功能2-32.2.4 启动/关闭ARP探测保护功能2-32.2.5 增加/删除组播ARP2-42.3 ARP的显示和调试2-52.4 启动/关闭报文防攻击功能2-52.4.1 报文防攻击简介2-5第3章 DHCP配置3-13.1 DHCP简介3-13.1.1 DHCP原理介绍3-13.2 DHCP公共配置3-33.2.1 使能/禁止DHCP服务3-43.2.2 配置对DHCP报文的处理模式3-43.2.3 使能/禁止伪DHCP服务器检测功能3-53.3 DHCP服务器配置3-53.3.1 创建DHCP全局地址池3-63.3.2 配置DHCP地址池的地址分配3-73.3.3 配置DHCP地址池中不参与自动分配的IP地址3-83.3.4 配置DHCP地址池的IP地址租用有效期限3-93.3.5 配置DHCP客户端的域名3-103.3.6 配置DHCP客户端的DNS服务器地址3-113.3.7 配置DHCP客户端的NetBIOS服务器的IP地址3-123.3.8 配置DHCP客户端的NetBIOS节点类型3-133.3.9 配置DHCP自定义选项3-143.3.10 配置DHCP客户端的出口网关IP地址3-153.3.11 配置DHCP服务器的ping包发送3-153.3.12 DHCP服务器配置的显示和调试3-163.3.13 清除DHCP服务器的配置信息3-173.3.14 DHCP Server配置示例3-173.4 DHCP Relay 配置3-193.4.1 DHCP Relay简介3-193.4.2 DHCP Relay配置3-203.4.3 DHCP Relay显示和调试3-213.4.4 DHCP Relay配置示例3-22第4章 option 82配置4-14.1 option 82简介4-14.1.1 DHCP中继支持option 82概述4-14.1.2 概念介绍4-14.1.3 option 82报文组成4-24.1.4 相关规范4-34.1.5 DHCP 中继支持option 82工作机制4-34.2 DHCP 中继上的option 82配置4-44.2.1 配置准备4-44.2.2 配置DHCP 中继支持option824-54.3 典型组网案例4-54.3.1 DHCP Relay支持option 82典型组网举例4-5第5章 域名解析配置5-15.1 域名解析简介5-15.1.1 静态域名解析5-15.1.2 动态域名解析5-15.2 静态域名解析配置5-25.3 动态域名解析配置5-25.3.1 使能/关闭动态域名解析功能5-25.3.2 配置域名服务器的IP地址5-35.3.3 配置域名后缀5-35.4 域名解析的显示和调试5-35.5 域名解析配置举例5-45.6 域名解析配置排错5-5第6章 IP性能配置6-16.1 IP性能配置6-16.1.1 配置TCP属性6-16.2 IP性能显示和调试6-16.3 IP性能配置排错6-3iiiQuidway S8500系列路由交换机 操作手册 第一分册网络协议第1章 IP地址配置第1章 IP地址配置1.1 IP地址简介1.1.1 IP地址的分类和表示IP地址是分配给连接在Internet上的设备的一个32比特长度的地址。IP地址由两个字段组成：网络号码字段（net-id）和主机号码字段（host-id）。IP地址由美国国防数据网的网络信息中心（NIC）进行分配。为了方便IP地址的管理，将IP地址分成五类。如下图所示：图1-1 五类IP地址其中A、B、C类地址为单播（unicast）地址；D类地址为组播（multicast）地址；E类地址为保留地址，以备将来的特殊用途。目前大量使用中的IP地址属于A、B、C三类地址。IP地址采用点分十进制方式记录。每个IP地址被表示为以小数点隔开的4个十进制整数，每个整数对应一个字节，如01。在使用IP地址时要知道一些IP地址是保留作为特殊用途的，一般不使用。下表列出用户可配置的IP地址范围。表1-1 IP地址分类及范围网络类型地址范围用户可用的IP网络范围说明A5全0的主机号码表示该IP地址就是网络的地址，用于网络路由；全1的主机号码表示广播地址，即对该网络上所有的主机进行广播；IP地址用于启动后不再使用的主机；网络号码为0的IP地址表示当前网络，可以让机器引用自己的网络而不必知道其网络号；所有形如127.X.Y.Z的地址都保留作回路测试，发送到这个地址的分组不会输出到线路上，它们被内部处理并当作输入分组。B55全0的主机号码表示该IP地址就是网络的地址，用于网络路由；全1的主机号码表示广播地址，即对该网络上所有的主机进行广播。C55全0的主机号码表示该IP地址就是网络的地址，用于网络路由；全1的主机号码表示广播地址，即对该网络上所有的主机进行广播。D55无D类地址是一组组播地址。其中，保留不做分配；55之间的组播地址被预留为路由协议以及其他低级拓扑查找及维护协议使用；55之间的组播地址被用作本地组播管理地址；5555之间的组播地址作为用户组播地址。E54无保留今后使用。其它地址555555用于局域网广播地址。1.1.2 子网和掩码在Internet迅速发展的今天，IP地址消耗殆尽。而传统的IP地址分配方式，对IP地址的浪费非常严重。为了充分利用已有的IP地址，人们提出了地址掩码（mask）和子网（subnet）的概念。掩码是一个与IP地址对应的32位数字，这些数字中一些为1，另外一些为0。原则上这些1和0可以任意组合，不过一般在设计掩码时，把掩码开始连续的几位设置为1。掩码可以把IP地址分为两个部分：子网地址和主机地址。IP地址与掩码中为1的位对应的部分为子网地址，其他的位则是主机地址。当不进行子网划分时，子网掩码即为默认值，此时子网掩码中“1”的长度就是网络号码的长度。即A类地址对应的掩码默认值为；B类地址的掩码默认值为；C类地址掩码的默认值为。使用掩码把一个可以包括1600多万台主机的A类网络或6万多台主机的B类网络分割成许多小的网络，每一个小的网络就称之为子网。如一个B类网络地址就可以利用掩码，把该网络分为8个子网：、、、、, 、、（请参见下图），而每个子网可以包括8000多台主机。图1-2 IP地址子网划分1.2 IP地址配置IP地址配置包括：l 配置主机名和对应的IP地址l 配置VLAN接口的IP地址1.2.1 配置主机名和对应的IP地址用户可以使用本命令将主机名与主机IP地址相对应，当用户使用telnet等应用时，可以直接使用主机名，由系统解析为IP地址，而不必使用难于记忆的IP地址。请在系统视图下进行下列配置。表1-2 配置主机名和对应的IP地址操作命令配置主机名和对应的IP地址ip host hostname ip-address取消主机名和对应的IP地址undo ip host hostname ip-address 缺省情况下，无主机名与主机IP地址对应。1.2.2 配置VLAN接口的IP地址在一般情况下，一个VLAN接口配置一个IP地址。为了使交换机的一个VLAN接口可以与多个子网相连，一个VLAN接口最多可以配置10个IP地址，其中一个为主IP地址，其余为从IP地址。请在VLAN接口视图下进行下列配置。表1-3 配置VLAN接口的IP地址操作命令配置VLAN接口IP地址ip address ip-address mask | mask-length sub 删除VLAN接口IP地址undo ip address ip-address mask | mask-length sub & 说明：当使用ip address命令配置VLAN接口的IP地址时，如果新配置的IP地址与原有IP地址不在同一个网段，那么系统会提示用户是否继续该操作，如果继续，在此VLAN接口的IP地址被修改的同时，该接口下的静态ARP表项也会被全部删除。缺省情况下，VLAN接口无IP地址。1.3 IP地址的显示和调试在完成上述配置后，在任意视图下执行display命令可以显示配置后IP地址的运行情况，通过查看显示信息验证配置的效果。表1-4 IP地址的显示和调试操作命令查看网络所有主机和对应的IP地址display ip host查看VLAN接口的相关信息display ip interface vlan-interface vlan-id1.4 IP地址配置举例1. 组网需求设置交换机的VLAN接口1的IP地址为，子网掩码为。2. 组网图图1-6 IP地址配置组网图3. 配置步骤# 进入VLAN接口1Quidway interface vlan-interface 1# 配置VLAN接口1的IP地址Quidway-Vlan-interface1 ip address 1.5 IP地址配置排错故障现象：从交换机ping不通局域网中某一主机。故障排除：可以按照如下步骤进行。l 首先查看交换机的配置是否正确，然后使用display arp命令查看交换机维护的ARP表。l 其次检查交换机连接主机的端口属于哪个VLAN，该VLAN是否配置VLAN接口，VLAN接口的IP地址和主机是否位于同一网段。l 如果配置正确，可以在交换机上打开ARP调试开关，查看交换机是否正确地发送和接收ARP报文，如果只有发送，没有接收到ARP报文，则可能以太网物理层有问题。1-5Quidway S8500系列路由交换机 操作手册 第一分册网络协议第2章 ARP配置第2章 ARP配置2.1 ARP简介ARP（Address Resolution Protocol）用于将IP地址解析为MAC地址。1. ARP地址解析的必要性IP地址不能直接用来进行通信，因为网络设备只能识别MAC地址。IP地址只是主机在网络层中的地址，如果要将网络层中传送的数据报交给目的主机，必须知道该主机的MAC地址。因此必须将IP地址解析为MAC地址。2. ARP地址解析的实现过程以太网上的两台主机需要通信时，双方必须知道对方的MAC地址。每台主机都要维护IP地址到MAC地址的转换表，称为ARP映射表。ARP映射表中存放着最近用到的一系列与本主机通信的其他主机的IP地址和MAC地址的映射。在主机启动时，ARP映射表为空；当一条动态ARP映射表项在规定时间内没有被使用时，主机将其从ARP映射表中删除掉，以便节省内存空间和ARP映射表的查找时间。假设主机A和主机B在同一个网段，主机A的IP地址为IP_A，B的IP地址为IP_B，主机A要向主机B发送信息。主机A首先查看自己的ARP映射表，确定其中是否包含有IP_B对应的ARP映射表项。如果找到了对应的MAC地址，则主机A直接利用ARP映射表中的MAC地址，对IP数据包进行帧封装，并将数据发送给主机B；如果在ARP映射表中找不到对应的MAC地址，则主机A将该数据包放入ARP发送等待队列，然后创建一个ARP request，并以广播方式在以太网上发送。ARP request数据包中包含有主机B的IP地址，以及主机A的IP地址和MAC地址。由于ARP request数据包以广播方式发送，该网段上的所有主机都可以接收到该请求，但只有被请求的主机（即主机B）会对该请求进行处理。主机B首先把ARP request数据包中的请求发起者（即主机A）的IP地址和MAC地址存入自己的ARP映射表中。然后主机B组织ARP响应数据包，在数据包中填入主机B的MAC地址，发送给主机A。这个响应不再以广播形式发送，而是直接发送给主机A。主机A收到响应数据包后，提取出主机B的IP地址及其对应的MAC地址，加入到自己的ARP映射表中，并把放在发送等待队列中的发往主机B的所有数据包都发送出去。一般情况下，ARP动态执行并自动寻求IP地址到以太网MAC地址的解析，无需管理员的介入。2.2 ARP配置ARP映射表既可以动态维护，也可以手工维护。通常将用户手工配置的IP地址到MAC地址的映射，称之为静态ARP。通过相关的手工维护命令，用户可以显示、添加、删除ARP映射表中的映射项。ARP配置包括：l 手工添加/删除静态ARP映射项l 配置动态ARP老化定时器的时间l 使能/关闭ARP表项的检查功能l 启动/关闭ARP探测保护功能l 增加/删除组播ARP2.2.1 手工添加/删除静态ARP映射项请在系统视图下进行下列配置。表2-1 手工添加/删除静态ARP映射项操作命令手工添加静态ARP映射项arp static ip-address mac-address vlan-id interface_type interface_num | interface_name | vpn-instance-name 手工删除静态ARP映射项undo arp ip-address缺省情况下，系统ARP映射表为空，由动态ARP协议获取地址映射。需要注意的是：l 静态ARP映射项在交换机正常工作时间一直有效，但如果更改或者删除VLAN虚接口，或者执行删除VLAN或把端口从VLAN中删除等使ARP不再合法的操作，则ARP表项都将被自动删除。l 参数vlan-id必须是用户已经创建好的VLAN的ID，且vlan-id参数后面指定的以太网端口必须属于这个VLAN。l 参数vpn-instance-name必须是已经创建好的MPLS VPN的VPN-instance名。l 带端口参数的ARP不能在聚合端口上配置。l 关于参数mac-address，如果配置ARP表项的mac-address是多播MAC地址，则系统自动认为该ARP是多播ARP。2.2.2 配置动态ARP老化定时器的时间为了方便用户灵活配置，系统提供以下命令允许用户指定动态ARP老化定时器的时间，当系统学习到一个动态ARP表项时，它的老化时间点以当前配置的老化时间计算。请在系统视图下进行下列配置。表2-2 动态ARP老化定时器的时间配置操作命令配置动态ARP老化定时器的时间arp timer aging aging-time恢复动态ARP老化定时器的时间为缺省值undo arp timer aging缺省情况下，动态ARP老化定时器为20分钟。2.2.3 使能/关闭ARP表项的检查功能可以使用下面的命令控制设备是否学习MAC地址为组播MAC的ARP表项。请在系统视图下进行下列配置。表2-3 使能/关闭ARP表项的检查功能操作命令使能ARP表项的检查功能，即不学习MAC地址为组播MAC的ARP表项arp check enable关闭ARP表项的检查功能，即学习MAC地址为组播MAC的ARP表项undo arp check enable缺省情况下，使能ARP表项的检查功能，即不学习MAC地址为组播MAC的ARP表项。2.2.4 启动/关闭ARP探测保护功能为防止S8500路由交换机与MA5200的对接过程中由于可能出现的异常硬件故障引起业务中断，路由交换机定时地向对端发送ARP请求。交换机通过对端的ARP回应报文判断对端端口状态。在连续三次超时时间后仍然没有收到对端的ARP应答，交换机认为对端状态异常，将采取保护措施。请在端口视图下进行下列配置。表2-4 ARP探测保护功能配置过程配置步骤命令说明进入系统视图system-view-进入以太网端口视图interface GigabitEthernet interfacetype interfacenum启动 ARP探测保护功能arp-detect vlan vlan-id peer ip-address delay-times 缺省情况下此功能关闭关闭ARP探测保护功能undo arp-detect- 注意：该功能主要是通过对端的ARP回应报文，来判断对端端口状态。所以在网络带宽不理想的情况下，可能存在误判断。一旦发生这种情况，主控板上的操作会导致该端口的路由表自动更新。缺省情况下，ARP探测保护功能关闭。2.2.5 增加/删除组播ARP组播ARP是将一条普通的单播路由与一个二层的组播组建立联系，就是为一个ARP报文增加多个出端口，使得一个出报文能够同时发往多个端口，从而生成一条静态组播ARP。简言之，组播ARP就是带组播MAC的静态ARP，其对应的端口可以是多个。交换机根据关键字multi-port增加组播ARP的出端口，每次只能增加一个端口。如果ARP表项不存在，则生成新的ARP表项。如果存在相同的端口，则交换机不进行处理。请在系统视图下进行下列配置。表2-5 删除/增加组播ARP配置步骤命令说明进入系统视图system-view-增加组播ARP端口 arp static ip-address mac-address vlan-id multi-port interface_type interface_num | interface_name vpn-instance String -取消相关配置可以使用相应的undo命令。配置完毕后可以在任意视图下通过命令display arp multi-port查询组播ARP的详细配置信息。 注意：l 聚合端口不能配置组播ARP。如果进行配置，系统将出现提示并返回出错信息。l 配置了组播ARP的端口不能加入聚合组，如果要加入聚合组，必须先删除组播ARP表项中的所有端口。l 目前，同一组播ARP表项的出端口不支持跨芯片。l 多播静态ARP可以覆盖动态ARP、短静态ARP以及长静态ARP，但是反之不行。2.3 ARP的显示和调试在完成上述配置后，在任意视图下执行display命令可以显示配置后ARP的运行情况，通过查看显示信息验证配置的效果。在用户视图下，用户可以执行reset命令清除ARP映射项；执行debugging命令对ARP进行调试。表2-6 ARP的显示和调试操作命令查看ARP映射表display arp ip-address | dynamic | static | begin | include | exclude text 查看动态ARP老化定时器的时间display arp timer aging显示组播ARP的配置信息display arp multi-port ip-address 显示使能了ARP探测功能的端口的状态信息display arp arp-detect peer ip-address清除ARP映射项reset arp dynamic | static | interface interface_type interface_num | interface_name | all 打开ARP调试信息开关debugging arp error | info | packet 关闭ARP调试信息开关undo debugging arp error | info | packet 2.4 启动/关闭报文防攻击功能2.4.1 报文防攻击简介随着互联网规模的扩大和互联网用户的增加，网络设备在运行中会受到攻击的可能性也在增大。S8500交换机针对一些典型的攻击方式，专门设计了一套防报文攻击的方案，可以防止IP、ARP、802.1x、未知组播等报文的攻击。l IP报文攻击，是指S8500接收到过多的目的地址和VLAN接口地址在同一网段，且在交换机上没有相应的转发表项的IP报文，该类报文会上送CPU进行处理，占用大量CPU资源，严重时会影响正常数据业务的转发。l ARP报文攻击，是指S8500收到大量的源MAC地址相同或者相近的arp请求报文，影响正常的arp学习。l 802.1x报文攻击，是指S8500收到大量的源MAC地址相同或者相近的802.1x认证报文，占用CPU资源。请在系统视图下进行下列配置。表2-7 启动/关闭报文防攻击功能操作命令启动/关闭报文防攻击功能anti-attack arp | dot1x | ip disable | enable 缺省情况下，启动IP报文防攻击功能。关闭ARP报文以及dot1x报文的防攻击功能。2-6Quidway S8500系列路由交换机 操作手册 第一分册网络协议第3章 DHCP配置第3章 DHCP配置3.1 DHCP简介3.1.1 DHCP原理介绍随着网络规模的扩大和网络复杂度的提高，网络配置越来越复杂，经常出现计算机位置变化（如便携机或无线网络）和计算机数量超过可分配的IP地址的情况。动态主机配置协议DHCP（Dynamic Host Configuration Protocol）就是为满足这些需求而发展起来的。DHCP协议采用客户端/服务器（Client/Server）方式工作，DHCP Client向DHCP Server动态地请求配置信息，DHCP Server根据策略返回相应的配置信息（如IP地址等）。在DHCP的典型应用中，一般包含一台DHCP服务器和多台客户端（如PC和便携机），如下图所示：图3-1 DHCP服务器典型组网应用1. DHCP的IP地址分配(1) IP地址分配策略对于IP地址的占用时间，不同客户端有不同的需求：对于服务器，可能需要长期使用固定的IP地址；对于某些主机，可能需要长期使用某个动态分配的IP地址；而某些个人则可能只在需要时分配一个临时的IP地址即可。针对这些不同的需求，DHCP服务器提供三种IP地址分配策略：l 手工分配地址：由管理员为少数特定客户端（如WWW服务器等）配置固定的IP地址。l 自动分配地址：为首次连接到网络的某些客户端分配固定的IP地址，该地址将长期由该客户端使用。l 动态分配地址：以“租借”的方式将某个地址分配给客户端，使用期限到期后，客户端需要重新申请地址。绝大多数客户端得到的就是这种动态分配的地址。(2) IP地址分配的优先次序DHCP服务器按照如下次序为客户端选择除了forbidden-ip地址之外的IP地址：l DHCP服务器的地址池中与客户端MAC地址静态绑定的IP地址；l 客户端以前曾经使用过的IP地址，即客户端发送的DHCP_Discover报文中请求IP地址选项（Requested IP Addr Option）的地址；l 在DHCP地址池中，顺序查找可供分配的IP地址，最先找到的IP地址；l 如果未找到可用的IP地址，则依次查询超过租期、发生冲突的IP地址，如果找到则进行分配，否则报告错误。(3) DHCP服务器地址池的类型l 全局地址池：在本交换机内有效，是通过系统视图下的dhcp server ip-pool命令创建的。l VLAN接口地址池：在本VLAN接口内有效，是在为VLAN接口配置了合法的单播IP地址，且在VLAN接口视图下使用dhcp select interface命令设置从VLAN接口地址池分配IP地址后由系统创建的，它的地址段范围就是此VLAN接口所在的网段。2. DHCP客户端与服务器的交互过程DHCP客户端为了获取合法的动态IP地址，在不同阶段与服务器之间交互不同的信息，通常存在以下三种模式：(1) DHCP客户端首次登录网络DHCP客户端首次登录网络时，主要通过四个阶段与DHCP服务器建立联系。l 发现阶段，即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCP_Discover报文，只有DHCP服务器才会进行响应。l 提供阶段，即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端的DHCP_Discover报文后，从IP地址池中挑选一个尚未分配的IP地址分配给客户端，向该客户端发送包含出租IP地址和其它设置的DHCP_Offer报文。l 选择阶段，即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP_Offer报文，客户端只接受第一个收到的DHCP_Offer报文，然后以广播方式向各DHCP服务器回应DHCP_Request报文，该信息中包含向所选定的DHCP服务器请求IP地址的内容。l 确认阶段，即DHCP服务器确认所提供IP地址的阶段。当DHCP服务器收到DHCP客户端回答的DHCP_Request报文后，便向客户端发送包含它所提供的IP地址和其它设置的DHCP_ACK确认报文。然后，DHCP客户端将其TCP/IP协议组件与网卡绑定。l 除DHCP客户端选中的服务器外，其它DHCP服务器本次未分配出的IP地址仍可用于其他客户端的IP地址申请。(2) DHCP客户端再次登录网络当DHCP客户端再次登录网络时，主要通过以下几个步骤与DHCP服务器建立联系。l DHCP客户端首次正确登录网络后，以后再登录网络时，只需要广播包含上次分配IP地址的DHCP_Request报文即可，不需要再次发送DHCP_Discover报文。l DHCP服务器收到DHCP_Request报文后，如果客户端申请的地址没有被分配，则返回DHCP_ACK确认报文，通知该DHCP客户端继续使用原来的IP地址。l 如果此IP地址无法再分配给该DHCP客户端使用（例如已分配给其它客户端），DHCP服务器将返回DHCP_NAK报文。客户端收到后，重新发送DHCP_Discover报文请求新的IP地址。(3) DHCP客户端延长IP地址的租用有效期DHCP服务器分配给客户端的动态IP地址通常有一定的租借期限，期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址，需要更新IP租约（如延长IP地址租约）。在实际使用中，DHCP客户端缺省在IP地址租约期限达到一半时，DHCP客户端会自动向DHCP服务器发送DHCP_Request报文，以完成IP租约的更新。如果此IP地址有效，则DHCP服务器回应DHCP_ACK报文，通知DHCP客户端已经获得新的租约。3.2 DHCP公共配置DHCP的公共配置是指对于DHCP服务器和DHCP中继功能都适用的配置，包括：l 使能/禁止DHCP服务l 配置对DHCP报文的处理模式l 使能/禁止伪DHCP服务器检测功能3.2.1 使能/禁止DHCP服务对于DHCP服务器和DHCP中继，在进行DHCP配置之前，都需要先使能DHCP服务。只有启动该服务后，其它相关的DHCP配置才能生效。请在系统视图下进行下列配置。表3-1 使能/禁止DHCP服务操作命令使能DHCP服务dhcp enable禁止DHCP服务undo dhcp enable缺省情况下，DHCP服务处于关闭状态。3.2.2 配置对DHCP报文的处理模式当收到DHCP客户端发出的、目的地址是本机的DHCP报文时，可以通过下面的配置决定如何处理这些报文。如果只配置当前VLAN接口的DHCP报文处理模式，请在VLAN接口视图下进行下列配置。表3-2 配置当前VLAN接口的DHCP报文的处理模式操作命令将DHCP报文发送到本地DHCP服务器，从全局地址池分配地址dhcp select global将DHCP报文发送到本地DHCP服务器，从VLAN接口地址池分配地址dhcp select interface将DHCP报文发送到远程DHCP服务器，选择此设备作为DHCP中继，从其他网段的服务器上分配地址dhcp select relay恢复DHCP报文的处理模式为缺省设置undo dhcp select 注意：dhcp select interface命令不要同时与ip relay address 命令或者dhcp relay security address-check enable命令同时使用，否则配置将不会产生实际意义。如果同时配置多个VLAN接口的DHCP报文处理模式，请在系统视图下进行下列配置。表3-3 配置多个VLAN接口的DHCP报文的处理模式操作命令将DHCP报文发送到本地DHCP服务器，从全局地址池分配地址dhcp select global interface vlan-interface vlan_id to vlan-interface vlan_id | all 将DHCP报文发送到本地DHCP服务器，从VLAN接口地址池分配地址dhcp select interface interface vlan-interface vlan_id to vlan-interface vlan_id | all 将DHCP报文发送到远程DHCP服务器，选择此设备作为DHCP中继，从其他网段的服务器上分配地址dhcp select relay interface vlan-interface vlan_id to vlan-interface vlan_id | all 恢复DHCP报文的处理模式为缺省设置undo dhcp select interface vlan-interface vlan_id to vlan-interface vlan_id | all 缺省情况下，对DHCP报文的处理模式为global，即将DHCP报文发送到本地DHCP服务器，从全局地址池分配地址。3.2.3 使能/禁止伪DHCP服务器检测功能在网络中，如果有私自架设的DHCP服务器，当其他用户申请IP地址时，这台DHCP服务器就会与DHCP客户端进行交互，导致用户获得错误的IP地址，无法正常上网，这种私设的DHCP服务器称为伪DHCP服务器。使能伪DHCP服务器检测功能后，交换机将记录DHCP服务器的IP地址以及申请地址的客户端的MAC地址，发送的报文类型和入报文的VLAN接口。，以便管理员及时发现并处理伪DHCP服务器。请在系统视图下进行下列配置。表3-4 使能/禁止伪DHCP服务器检测功能操作命令使能伪DHCP服务器检测功能dhcp server detect禁止伪DHCP服务器检测功能undo dhcp server detect缺省情况下，禁止伪DHCP服务器检测功能。3.3 DHCP服务器配置DHCP服务器配置包括：l 创建DHCP全局地址池l 配置DHCP地址池的地址分配l 配置DHCP地址池中不参与自动分配的IP地址l 配置DHCP地址池的IP地址租用有效期限l 配置DHCP客户端的域名l 配置DHCP客户端的DNS服务器地址l 配置DHCP客户端的NetBIOS服务器地址l 配置DHCP客户端的NetBIOS节点类型l 配置DHCP自定义选项l 配置DHCP客户端的出口网关IP地址l 配置DHCP服务器的ping包发送& 说明：为方便用户，对某些DHCP配置选项，用户可以分别对全局DHCP地址池、当前VLAN接口DHCP地址池或指定的多个VLAN接口DHCP地址池进行配置。这类配置任务包括：配置DHCP地址池的IP地址租用有效期限、配置DHCP客户端的域名、配置DHCP客户端的DNS服务器地址、配置DHCP客户端的NetBIOS服务器地址、配置DHCP客户端的NetBIOS节点类型以及配置DHCP自定义选项。3.3.1 创建DHCP全局地址池DHCP服务器通过地址池给客户端分配IP地址。当客户端向服务器发出DHCP请求时，DHCP服务器根据用户设置选择合适的地址池，并从中挑选一个空闲的IP地址，与其他相关参数（如地址租用期限等）一起传送给客户端。每个DHCP服务器可以配置多个地址池，目前支持128个DHCP全局地址池。DHCP服务器中的地址池采用树状结构：树根是自然网段地址，分支是该网段的子网地址，叶节点是手工绑定的客户端地址。这种树状结构实现了配置的继承性，即子网配置继承自然网段的配置，客户端的配置继承子网的配置。这样，对于一些通用参数（如域名），只需要在自然网段或者子网上配置即可。地址池的树状结构可以通过命令display dhcp server tree查看，同一级别地址池的顺序由配置的先后决定。创建DHCP全局地址池时，如果该地址池已存在，则直接进入该地址池视图；否则将先创建DHCP地址池，然后再进入地址池视图。请在系统视图下进行下列配置。表3-5 创建DHCP全局地址池操作命令创建DHCP地址池并进入DHCP地址池视图dhcp server ip-pool pool-name删除DHCP地址池undo dhcp server ip-pool pool-name缺省情况下，DHCP全局地址池没有被创建。需要注意的是，VLAN接口地址池是在为VLAN接口配置了合法的单播IP地址，且在VLAN接口视图下使用dhcp select interface命令设置从VLAN接口地址池分配IP地址后由系统创建的。3.3.2 配置DHCP地址池的地址分配根据客户端的实际需要，可以选择采用静态地址绑定方式或动态地址分配方式。但是，对于同一个全局DHCP地址池不能同时配置这两种方式；对于VLAN接口地址池两种方式可以共存，但动态分配的IP地址网段即为该VLAN接口IP地址的网段。动态地址分配需要指定用于分配的地址范围，而静态地址绑定则可以看作是只包含绑定地址的特殊的DHCP地址池。1. 配置全局DHCP地址池的静态地址绑定某些客户端可能需要固定的IP地址，即将客户端的MAC地址与某个IP地址绑定。当此MAC地址的客户端申请IP地址时，服务器将根据客户端的MAC地址寻找到对应的固定IP地址，并分配给客户端。目前一个全局DHCP地址池只支持一条MAC-IP地址的绑定。请在DHCP地址池视图下进行下列配置。表3-6 配置全局DHCP地址池的静态地址绑定操作命令配置静态绑定的IP地址static-bind ip-address ip-address mask netmask 删除静态绑定的IP地址undo static-bind ip-address配置静态绑定的客户端MAC地址static-bind mac-address mac-address删除静态绑定的客户端MAC地址undo static-bind mac-address缺省情况下，未配置全局DHCP地址池的静态地址绑定。& 说明：命令static-bind ip-address和static-bind mac-address必须配合使用，并且，如果多次执行，新的配置会覆盖已有配置。2. 配置VLAN接口地址池的静态地址绑定请在VLAN接口视图下进行下列配置。目前VLAN接口地址池支持多条IP地址和MAC地址的绑定。表3-7 配置VLAN接口地址池的静态地址绑定操作命令配置当前VLAN接口地址池中的静态地址绑定dhcp server static-bind ip-address ip-address mac-address mac-address删除当前VLAN接口地址池中的静态地址绑定undo dhcp server static-bind ip-address ip-address | mac-address mac-address 缺省情况下，未配置VLAN接口地址池的静态地址绑定。 注意：接口地址的绑定不可以直接覆盖，若已经配置了绑定的IP地址和MAC表项，修改绑定关系的时候，要删除原来的绑定关系。3. 配置动态地址分配对于动态分配给客户端的地址（包括永久的和租用期有限的动态地址），都需要配置地址池的范围。请在DHCP地址池视图下进行下列配置。表3-8 配置动态分配的IP地址范围操作命令配置动态分配的IP地址范围network ip-address mask netmask 删除动态分配的IP地址范围undo network缺省情况下，未配置动态分配的IP地址范围。每个DHCP地址池只能配置一个网段，如果多次执行network命令，新的配置会覆盖已有配置。3.3.3 配置DHCP地址池中不参与自动分配的IP地址DHCP服务器在分配地址时，需要排除已经被占用的某些IP地址（如网关、FTP服务器等），否则，同一地址分配给两台主机会造成IP地址冲突。请在系统视图下进行下列配置。表3-9 配置DHCP地址池中不参与自动分配的IP地址操作命令配置DHCP地址池中不参与自动分配的IP地址dhcp server forbidden-ip low-ip-address high-ip-address 取消DHCP地址池中不参与自动分配的IP地址的配置undo dhcp server forbidden-ip low-ip-address high-ip-address 缺省情况下，DHCP地址池中的所有IP地址都参与自动分配。多次执行本命令，可以配置多个不参与自动分配的IP地址段。3.3.4 配置DHCP地址池的IP地址租用有效期限对于不同的地址池，DHCP服务器可以指定不同的地址租用期限，但同一DHCP地址池中的地址都具有相同的期限。1. 配置全局DHCP地址池的IP地址租用有效期限请在DHCP地址池视图下进行下列配置。表3-10 配置全局DHCP地址池的IP地址租用有效期限操作命令配置全局DHCP地址池的IP地址租用有效期限expired day day hour hour minute minute | unlimited 恢复全局DHCP地址池的IP地址租用有效期限为缺省值undo expired2. 配置当前VLAN接口DHCP地址池的IP地址租用有效期限请在VLAN接口视图下进行下列配置。表3-11 配置当前VLAN接口DHCP地址池的IP地址租用有效期限操作命令配置当前VLAN接口DHCP地址池的IP地址租用有效期限dhcp server expired day day hour hour minute minute | unlimited 恢复当前VLAN接口DHCP地址池的IP地址租用有效期限为缺省值undo dhcp server expired3. 配置多个VLAN接口DHCP地址池的IP地址租用有效期限请在系统视图下进行下列配置。表3-12 配置多个VLAN接口DHCP地址池的IP地址租用有效期限操作命令配置多个VLAN接口DHCP地址池的IP地址租用有效期限dhcp server expired day day hour hour minute