华为交换机DHCPSNOOPING功能使用案例解析

1、一、dhcp snooping 测试拓扑(_) 二、dhcp snooping 测试概述(_) 1.提供上行方向两个DHCP源，其中S2700的24号端口开启dhcp snooping功能并且连接的 dhcp源设置为信任。 2.S2700的23好端口开启dhcp snooping功能，并且连接的dhcp源设垃为不信任(默认情况 下为不信任) 3我的笔记本电脑有线连接到S2700的1号端口 4. 使用笔记本电脑获取IP地址 三、dhcp snooping 测试配置(_) # dhcp enable dhcp snooping enable # interface EthernetO/O/23 d

2、hcp snooping enable # interface EthemetO/O/24 dhcp snooping enable dhcp snooping tnistcd 四、dhcp snooping 测试情况(_) 电脑获取到了来自dhcp信任端口 24号口的dhcp报文，IP地址获取到192.168.0.0/24网段 发现来不信任端口 23号端口上的dhcp报文被丢弃 Quidway-EthemetO/O/24Jdisplay dhcp snooping interface Ethernet 0/0/23 dhcp snooping enable dhcp snooping tni

3、sted dhcp packet dropped by untrust-reply checking = 20 五、dhcp snooping 测试拓扑（二） 冋理将S2700的23号端口设置为信任，把24好端口设置为不信任，重新获取IP地址 我的笔记本 六、dhcp snooping 测试概述（二） 5.提供上行方向两个DHCP源，其中S2700的23号端口开启dhcp snooping功能并且连接的 dhcp源设置为信任。 6.S2700的24好端口开启dhcp snooping功能，并且连接的dhcp源设置为不信任（默认情况 下为不信任） 7.我的笔记本电脑有线连接到S2700的1号端口

4、 &使用笔记本电脑获取IP地址 七、dhcp snooping 测试配置（二） # dhcp enable dhcp snooping enable # interface EthemetO/O/23 dhcp snooping enable dhcp snooping trusted # interface EthemetO/O/24 dhcp snooping enable 获取到了来自23好端口的DHCP报文，IP地址获取到192.168.1.0/24网段 同时发现来不信任端口 24号端口上的dhcp报文被丢弃 Quidway-EthernetO/O/24|display dhcp sn

5、ooping interface Ethernet 0/0/24 dhcp snooping enable dhcp snooping tmsted dhcp packet dropped by untrust-reply checking = 2 八、user-bind动态绑左测试拓扑 开启动态user - bind interface Ethernet0/0/l dhcp snooping enable ip source check user-bind enable ip source check user-bind alarm enable 我的笔记本 九、动态user-bind测试概

6、述 1 提供上行方向两个DHCP源，其中S2700的24号端口开启dhcp snooping功能并且连接的 dhcp源设置为信任。 2.S2700的23好端口开启dhcp snooping功能，并且连接的dhcp源设置为不信任（默认情况 下为不信任) 3. 我的笔记本电脑有线连接到S2700的1号端口，并在端口上开启动态的uscr-bind功能。 4. 检查动态的user-bind绑宦情况及过程 5. 自己修改笔记本电脑的IP地址检查是否可以正常转发 十、测试配置 # dhcp enable dhcp snooping enable # interface EthernetO/O/1 dhcp

7、 snooping enable ip source check user-bind enable ip source check user-bind alarm enable # interface EthernetO/O/23 dhcp snooping enable # interface Ethernet0/0/24 dhcp snooping enable dhcp snooping tnistcd 十一.测试情况 交换机上生成了动态的ip+mac地址的绑立表现 display dhcp snooping user-bind all DHCP Dynamic Bind-table:

8、Flags:O - outer vlan .1 inner vlan ,P - map vlan IP AddressMAC Address VSI/VLAN(O/I/P) Interface Lease 2008.01.08-01:01 192.16&0.108C454-4400-3f711/- /- EthO/O/1 print count:1total count:1 display dhcp snooping user-bind ipsg-status DHCP Dynamic Bind-table: Flags:O - outer vlan .1 - inner vlan ,P -

9、map vlan IP AddressMAC Address VSI/VLAN(O/I/P) Interface IPSG Status effective 192.168.0.108C454-4400-3f711/- /- EthO/O/1 print count:1total count:1 Debug dhcp snooping user-bind 报文査看整个过程 L:302Receive DHCP REQUEST message.(收到 DHCP 请求) 我的笔记本电脑发送dhcp请求，S2700交换机发现来自1号端口的dhcp请求 Jan 1 2008 00:25:09.400.2

10、-05:13 Quidway DHCP/7/DEBUG:DHCP-SNOOPING-INFOJ: |L:3151Interface(src:EthO/O/l dst:EthO/O/l) ,vlan(O/I:l/0 pkt:O), mac(client:c454-4400-3f71 src:c454-4400-3f71 dst:ffff-ffff-ffff),port(src:68 dst:67) 创建客户端接入表，记录我笔记本电脑的vlan和mac以及接口信息 Jan 1 2008 00:25:09.400.3-05:13 Quidway DHCP/7/DEBUG:DHCP-SNOOPING-

11、INFO: L:3419Create client access tablc(chaddr:c454-4400-3f71 ,vsi:1024 Alan: 1/0. srcif:EthO/O/l, vrf:0) 发现报文是来至信任的端口 Jan 1 2008 00:25:09.400.4-05:13 Quidway DHCP/7/DEBUG:DHCP-SNOOPING-PACKETl： L:3313Broadcast to tnisted interfaces within vlan l(Tnistcd port number: 1) 收到dhcp确认报文 Jan 1 2008 00:25:09

12、.410.1-05:13 Quidway DHCP/7/DEBUG:DHCP-SNOOPING-PACKETl： L:302Receive DHCP ACK message. 确认信任DHCP的接口和mac地址信息 Jan 1 2008 00:25:09.410.2-05:13 Quidway DHCP/7/DEBUG:DHCP-SNOOPING-INFO: (L:315Intcrfacc(src:EthO/O/24 dst:Eth0/0/24) ,vlan(O/I:l/0 pkt:O), mac(clicnt:c454-4400-3t71 src:c83a-3512-a318 dst:fff

13、f-ffff-ffff),port(src:67 dst:68) 确认我的笔记本的mac和接口信息 Jan 1 2008 00:25:09.410.3-05:13 Quidway DHCP/7/DEBUG:DHCP-SNOOPING-INFO: L:2870Clicnt access table(mac:c454-4400-3f71 intcrface:EthO/O/l vlan:l ) 生成动态的user-bind表项记录我笔记本的IP和mac地址以及接口信息 Jan 1 2008 00:25:09.410.4-05:13 Quidway DHCP/7/DEBUG:DHCP-SNOOPING

14、-INFO: |L:2516Update client bind table(mac:c454-4400-3f71 ip: 192.168.0.108 interface:EthO/O/l vlan: 1/0 vsi:1024). 修改我笔记本电脑上的IP地址测试（修改为dhcp范用之外的192.168.0.250）交换机上1号端口发现了在userbind表现外的报文，直接丢弃了 Jan 1 2008 01:3&24-05:13 Quidway %01SECE/4/IPSG_DROP_PACKET(l)0:IP packets droppedby IPSG.(SourceInterface=E

15、thcrnet0/0/l ,DropPacketNumber= 114,DroptTime=2008/01/01 01:38:24) Ping网关测试不通 172.168 .W.l r- r- rv nuu HHM nHH nnH Is 一主冃青青土冃 Microsoft Windows 版本 6.1.7601 版权所有 2009 Microsoft Corporation(保留所有权利。 C:Usorshoymo pin 192-168.0.1 192.168.0.1 的 Ping 统计信息： 痴居包；已废送-久已接收-0,丢失-4 ( 手动添加一个user-bind表项测试 (Quidwa

16、yuser-bind static ip-address 192.168.0.250 mac-address c454-4400-3f71 可以ping通网关 Ping 1?2.168 192.168.0.1 192.168.0.1 192.168.0.1 192.168.0.1 ITL=64 TTL=64 ITL=64 ITL-64 =4,丢失=0 ping 192 .1 b8. W 正在Ping 192.168.0.250具有32字卫的数据: Cont i*o 1C C C：Usershoyme ncpa.cpl ivz.168.0.1 切 mg 纟兀IT信応、： 数据包：已发送=2,已接牧，丢失=2 piny 192 .1680.250 SB 苣湮冃：C:windcw5system32c