ea系列以太网交换机-操作手册-v120dhcp操作

1、目 录目 录第 1 章 DHCP 概述1-1DHCP 简介1-1DHCP 的 IP 地址分配1-1IP 地址分配策略1-1IP 地址动态获取过程1-2IP 地址的租约更新1-2DHCP 报文格式1-3协议规范1-4. 2-12.1 简介2-1DHCP SnooDHCP SnooDHCP Snoo简介2-1信任端口功能简介2-1支持 Option 82 简介2-22.1.4 IP 过滤简介2-42.2 DHCP Snoo相关配置2-5开启DHCP Snoo配置DHCP Snoo配置DHCP Snoo功能2-5信任端口功能2-6支持 Option 82 功能2-62.2.4 配置 IP 过滤功能2

2、-10DHCP SnooDHCP Snoo配置显示2-11典型配置举例2-122.4.1 DHCP Snoo支持 Option 82 配置举例2-122.4.2 IP 过滤典型配置举例2-13第 3 章 DHCP 报文限速配置3-1DHCP 报文限速简介3-1配置DHCP 报文限速功能3-1DHCP 报文限速典型配置举例3-2第 4 章 DHCP/BOOTP 客户端配置4-1DHCP 客户端简介4-1BOOTP 客户端简介4-1DHCP/BOOTP 客户端配置4-2DHCP 客户端典型配置举例4-2DHCP/BOOTP 客户端显示4-3i第 1 章 DHCP 概述第1章 DHCP 概述1.1D

3、HCP 简介随着网络规模的不断扩大和网络复杂度的提高，经常出现计算机的数量超过可供分配的 IP 地址的情况。同时随着便携机及无线网络的广泛使用，计算机的位置也经常变化，相应的 IP 地址也必须经常更新，从而导致网络配置越来越复杂。DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）就是为解决这些问题而发展起来的。DHCP 采用“客户端/服务器”通信模式，由客户端向服务器提出配置申请，服务器返回为客户端分配的 IP 地址等配置信息，以实现网络资源的动态配置。在 DHCP 的典型应用中，一般包含一台 DHCP 服务器和多台客户端（如 PC 和便携机）

4、，如图 1-1所示：图1-1 DHCP 典型应用1.2DHCP 的 IP 地址分配1.2.1 IP 地址分配策略针对客户端的不同需求，DHCP 提供三种 IP 地址分配策略：手工分配地址：由管理员为少数特定客户端（如 WWW 服务器等）静态绑定IP 地址。通过 DHCP 将配置的固定 IP 地址发给客户端。自动分配地址：DHCP 为客户端分配租期为无限长的 IP 地址。1-1第 1 章DHCP 概述动态分配地址：DHCP 为客户端分配具有一定有效期限的 IP 地址，当使用期限到期后，客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。1.2.2IP 地址动态获取过程DHCP 客

5、户端从 DHCP 服务器动态获取 IP 地址，主要通过四个阶段进行：(1)发现阶段，即 DHCP 客户端寻找 DHCP 服务器的阶段。客户端以广播方式发送 DHCP-DISCOVER 报文。提供阶段，即 DHCP 服务器提供 IP 地址的阶段。DHCP 服务器接收到客户端发送的 DHCP-DISCOVER 报文后，根据 IP 地址分配的优先次序从地址池中选出一个 IP 地址，与其他参数一起通过 DHCP-OFFER 报文发送给客户端（发送方式根据客户端发送的 DHCP-DISCOVER 报文中的 flag 字段决定，具体请见1.3 DHCP 报文格式的介绍）。选择阶段，即 DHCP 客户端选择

6、 IP 地址的阶段。如果有多台 DHCP 服务器向该客户端发来 DHCP-OFFER 报文，客户端只接受第一个收到的 DHCP-OFFER 报文，然后以广播方式发送 DHCP-REQUEST 报文，该报文中包含 DHCP 服务器在 DHCP-OFFER 报文中分配的 IP 地址。确认阶段，即 DHCP 服务器确认 IP 地址的阶段。DHCP 服务器收到 DHCP客户端发来的 DHCP-REQUEST 报文后，只有 DHCP 客户端选择的服务器会进行如下操作：如果确认地址分配给该客户端，则返回 DHCP-ACK 报文；否则将返回 DHCP-NAK 报文，表明地址不能分配给该客户端。(2)(3)(

7、4)说明：客户端收到服务器返回的 DHCP-ACK 确认报文后，会以广播的方式发送免费 ARP 报文，探测是否有主机使用服务器分配的 IP 地址，如果在规定的时间内没有收到回应，客户端才使用此地址。否则，客户端会发送 DHCP-DECLINE 报文给 DHCP 服务器，并重新申请 IP 地址。如果网络中存在多个 DHCP 服务器，除 DHCP 客户端选中的服务器外，其它DHCP 服务器中本次未分配出的 IP 地址仍可分配给其他客户端。1.2.3IP 地址的租约更新如果采用动态地址分配策略，则 DHCP 服务器分配给客户端的 IP 地址有一定的租借期限，当租借期满后服务器会收回该 IP 地址。如

8、果 DHCP 客户端希望延长使用该地址的期限，需要更新 IP 地址租约。1-2第 1 章 DHCP 概述在 DHCP 客户端的 IP 地址租约期限达到一半时间时，DHCP 客户端会向 DHCP服务器单播发送 DHCP-REQUEST 报文，进行 IP 租约的更新。如果此 IP 地址有效，则 DHCP 服务器单播回应 DHCP-ACK 报文，通知 DHCP 客户端已经获得新 IP 租约；如果此 IP 地址不可以再分配给该客户端，则 DHCP 服务器回应 DHCP-NAK 报文，通知 DHCP 客户端不能获得新的租约。如果在租约的一半时间进行的续约操作失败，DHCP 客户端会在租约期限达到 7/8

9、时，再次广播发送 DHCP-REQUEST 报文进行续约。DHCP 服务器的处理同上，不再赘述。1.3DHCP 报文格式DHCP 有 8 种类型的报文，每种报文的格式相同，只是报文中的某些字段取值不同。DHCP 报文格式基于 BOOTP 的报文格式，具体格式如图 1-2所示（括号中的数字表示该字段所占的字节）：07152331图1-2 DHCP 报文格式各字段的解释如下：op：DHCP 报文的操作类型，分为请求报文和响应报文，1 为请求报文；2为响应报文。htype、hlen：DHCP 客户端的硬件地址类型及长度。hops：DHCP 报文经过的 DHCP 中继的数目。DHCP 请求报文每经过一

10、个DHCP 中继，该字段就会增加 1。xid：客户端发起一次请求时选择的随机数，用来标识一次地址请求过程。secs：DHCP 客户端开始 DHCP 请求后的时间。1-3op (1)htype (1)hlen (1)hops (1)xid (4)secs (2)flags (2)ddr (4)yiaddr (4)siaddr (4)giaddr (4)chaddr (16)sname (64)file (128)options (variable)第 1 章DHCP 概述flags：第一个比特为广播响应标识位，用来标识 DHCP 服务器响应报文是采用单播还是广播发送，0 表示采用单播方式，1 表

11、示采用广播方式。其余比特保留不用。ddr：DHCP 客户端的 IP 地址。yiaddr：DHCP 服务器分配给客户端的 IP 地址。siaddr：DHCP 客户端获取 IP 地址等信息的服务器 IP 地址。 giaddr：DHCP 客户端发出请求报文后经过的第一个 DHCP 中继的 IP 地址。 chaddr：DHCP 客户端的硬件地址。sname：DHCP 客户端获取 IP 地址等信息的服务器名称。file：DHCP 服务器为 DHCP 客户端指定的启动配置文件名称及路径信息。option：可选变长选项字段，包含报文的类型、有效租期、DNS（NameSystem，系统）服务器的 IP 地址、

12、WINS 服务器的 IP 地址等配置信息。1.4协议规范与 DHCP 相关的协议规范有：RFC2131：Dynamic Host Configuration ProtocolRFC2132：DHCP Options and BOOTP Vendor ExtensRFC1542：Clarifications and Extens for the Bootstrap ProtocolRFC3046：DHCP Relay Agent Information option1-42.1 简介2.1.1DHCP Snoo简介出于安全性的考虑，网络管理员可能需要用户上网时所用的 IP 地址，确认用户从 DH

13、CP 服务器获取的 IP 地址和用户主机的 MAC 地址的对应关系。三层交换机可以通过 DHCP 中继二层交换机可以通过 DHCP Snoo地址信息。用户的 IP 地址信息。功能DHCP 报文，用户的 IPDHCP Snoo功能在 S2000-EA 系列以太网交换机应用的典型组网如图 2-1所示。图中的 Switch A 为 S2000-EA 系列以太网交换机。图2-1 DHCP Snoo典型组网S2000-EA 系列以太网交换机的 DHCP Snoo功能，通过 DHCP-REQUEST 报文和DHCP-ACK 报文来获得用户从 DHCP 服务器获取的 IP 地址和用户 MAC 地址信息。2.

14、1.2DHCP Snoo信任端口功能简介在网络中如果有私自架设的 DHCP 服务器，将可能导致用户得到错误的 IP 地址。为了使用户能通过合法的 DHCP 服务器获取 IP 地址，S2000-EA 系列以太网交换机的 DHCP Snoo安全机制，允许将端口设置为信任端口与不信任端口。2-1信任端口是与合法的 DHCP 服务器直接或间接连接的端口。信任端口对接收到的 DHCP 报文正常转发，从而保证了 DHCP 客户端获取正确的 IP 地址。不信任端口是不与合法的 DHCP 服务器连接的端口。如果从不信任端口接收到 DHCP 服务器响应的 DHCP-ACK 和 DHCP-OFFER 报文则会丢弃

15、，从而防止了 DHCP 客户端获得错误的 IP 地址。2.1.3DHCP Snoo支持 Option 82 简介1. Option 82 简介Option 82 是DHCP 报文中的中继信息选项（Relay Agent Information option），该选项了 DHCP 客户端的位置信息。DHCP 中继（或 DHCP Snoo设备）接收到 DHCP 客户端发送给 DHCP 服务器的请求报文后，可以在该报文中添加 Option 82 选项，以便管理员定位 DHCP 客户端，实现对客户端的安全和计费等控制。支持 Option 82 选项的服务器还可以根据该选项的信息制订 IP 地址和其他参

16、数的分配策略，提供更加灵活的地址分配方式。Option 82 选项最多可以包含 255 个子选项。若定义了 Option 82，则至少要定义一个子选项。目前设备只支持两个子选项：Circuit ID 子选项（sub-option 1）和Remote ID 子选项（sub-option 2）。2. Option 82 的填充内容与格式由于 Option 82 的内容没有规定，不同厂商通常根据需要进行填充。目前，S2000-EA 系列以太网交换机作为 DHCP Snoo默认情况下的填充内容为：设备，对 Option 82 子选项在sub-option 1（Circuit ID，电路 ID 子选项）

17、的内容是接收到 DHCP 客户端请求报文的端口所属 VLAN 的减 1）。sub-option 2（Remote ID，请求报文的 DHCP Snoo以及端口索引（端口索引的取值为端口ID 子选项）的内容是接收到 DHCP 客户端设备的 MAC 地址。缺省情况下，S2000-EA 系列以太网交换机作为 DHCP Snoo设备，对 Option82 字段的填充格式为扩展格式。以默认填充内容为例，子选项的扩展格式如图 2-2和图 2-3所示。即：在 Circuit ID 子选项(或 Remote ID 子选项)中分别定义了 Circuit ID（或 Remote ID）的类型和长度。在扩展格式中，

18、Circuit ID（或 Remote ID）的类型字段取值由果是 HEX 格式，则设置为 0；如果是 ASCII 格式，则设置为 1。格式决定。如2-2图2-2 Circuit ID 子选项的扩展格式图2-3 Remote ID 子选项的扩展格式在实际组网环境中，由于一些网络设备所支持的 Option 82 格式不支持 Remote ID和 Circuit ID 的类型和长度标识，为了与这些设备正常互通，S2000-EA 系列以太网交换机支持配置 Option 82 的填充格式为标准格式。以默认填充内容为例，子选项的标准格式如图 2-4和图 2-5所示。即：在 Circuit ID 子选项（

19、或 Remote ID 子选项）中不包含标识 Circuit ID（或 Remote ID）的类型和长度的两个字节。图2-4 Circuit ID 子选项的标准格式图2-5 Remote ID 子选项的标准格式3. DHCP Snoo支持 Option 82 工作机制交换机配置了 DHCP Snoo和 DHCP Snoo支持 Option 82 功能后，当收到的 DHCP 客户端发送的 DHCP 请求报文中带有 Option 82 选项时，根据配置的处理策略选项内容不同，DHCP Snoo对报文的处理机制不同，详见表 2-1。表2-1 DHCP Snoo设备对携带Option 82 选项的报文

20、的处理方式2-3处理策略子选项内容DHCP Snoo设备对报文的处理Drop-丢弃报文Keep-保持报文中的 Option 82 选项不变并进行转发Replace未配置子选项的内容采用默认内容填充 Option 82 字段，替换报文中原有的Option 82 选项并进行转发格式为 dhcp-snooinformation format 命令指定的格式（如果未配置此命令，则采用默认的 HEX 格式）当收到的 DHCP 客户端发送的 DHCP 请求报文中未带 Option 82 选项时，根据配置的子选项内容，对 Option 字段进行填充后，转发报文，详见表 2-2。表2-2 DHCP Snoo设

21、备对未携带 Option 82 选项的报文的处理方式 说明：Option 82 字段中对Circuit ID 子选项或 Remote ID 子选项的内容的配置相互独立，可以单独配置也可以同时配置，且配置顺序不分先后。当接收到 DHCP 服务器的 DHCP 回应报文时，如果报文中含有 Option 82 选项，则删除 Option 82 字段进行转发；如果报文中不含有 Option 82 选项，则直接转发。2.1.4 IP 过滤简介DoS（Denial of Service，服务）是指者利用工具向服务器发送大量的不同源 IP 地址的请求报文，使网络无法正常工作。具体的影响如下：耗尽服务器的资源，

22、使其对其它请求的响应；由于交换机接收到此类报文需上送 CPU 处理，因此请求报文数量过多，会导致交换机 CPU 利用率持续上升，不能正常工作。交换机可以通过 DHCP Snoo表和 IP 静态绑定表，对IP 报文进行过滤。2-4子选项内容DHCP Snoo设备对报文的处理未配置子选项的内容采用默认内容填充报文中的 Option 82 字段并进行转发 格式为 dhcp-snooinformation format 命令指定的格式（如果未配置此命令，则采用默认的 HEX 格式）配置了Circuit ID 子选项的内容将 Option 82 选项中Circuit ID 填充为用户自定义的内容（格式为

23、ASCII）并进行转发配置了Remote ID 子选项的内容将 Option 82 选项中 Remote ID 填充为用户自定义的内容（格式为ASCII）并进行转发处理策略子选项内容DHCP Snoo设备对报文的处理配置了Circuit ID 子选项的内容将 Option 82 选项中Circuit ID 填充为用户自定义的内容（格式为ASCII），替换原有的 Option 82 选项并进行转发配置了Remote ID 子选项的内容将 Option 82 选项中Remote ID 填充为用户自定义的内容（格式为ASCII），替换原有的 Option 82 选项并进行转发1. DHCP Snoo

24、表交换机启用 DHCP Snoo功能后，会生成一个 DHCP Snoo表，用来客户端从 DHCP 服务器获取的 IP 地址、客户端的 MAC 地址、客户端连接到 DHCPSnoo设备的端口、以及该端口所属 VLAN 的等信息，每条为DHCP Snoo表中的一个表项。2. IP 静态绑定表DHCP Snoo表只了通过 DHCP 方式动态获取 IP 地址的客户端信息，如果用户手工配置了固定 IP 地址，其 IP 地址、MAC 地址等信息将不会被 DHCPSnoo表，因此不能通过基于 DHCP Snoo外部网络。表项的 IP 过滤检查，导致用户无法正常为了能够让这些拥有合法固定 IP 地址的用户网络

25、，交换机支持手工配置 IP 静态绑定表的表项，即：用户的 IP 地址、MAC 地址及连接该用户的端口之间的绑定关系。以便顺利转发该用户的报文。3. IP 过滤方式交换机对 IP 报文的两种过滤方式：根据报文中的源 IP 地址进行过滤。如果报文的源 IP 地址、接收报文的交换机端口，与 DHCP Snoo表或手工配置的 IP 静态绑定表表项一致，则认为该报文是合法的报文，直接转发；否则认为是报文，直接丢弃；根据报文中的源 IP 地址和源 MAC 地址进行过滤。如果报文的源 IP 地址、源MAC 地址、接收报文的交换机端口，与 DHCP Snoo表或手工配置的静态绑定表表项一致，则认为该报文是合法

26、的报文，直接转发；否则认为是报文，直接丢弃。2.2 DHCP Snoo相关配置2.2.1 开启 DHCP Snoo功能表2-3 配置 DHCP Snoo功能2-5操作命令说明进入系统视图system-view-开启交换机 DHCP Snoo功能dhcp-snoo必选缺省情况下，交换机的 DHCP Snoo功能处于关闭状态 说明：在 S2000-EA 系列以太网交换机上开启 DHCP Snoo的客户端使用 BOOTP 方式动态获取 IP 地址。功能后，不支持与之连接2.2.2配置 DHCP Snoo信任端口功能表2-4 配置 DHCP Snoo信任端口功能 说明：S2000-EA 系列以太网交换

27、机开启 DHCP Snoo功能后，设备的所有端口均为非信任端口。为了使 DHCP 客户端能从合法的 DHCP 服务器获取 IP 地址，必须将S2000-EA 交换机上与合法 DHCP 服务器相连的端口设置为信任端口，设置的信任端口和与 DHCP 客户端相连的端口必须在同一个 VLAN 内。2.2.3配置 DHCP Snoo支持 Option 82 功能 说明：配置 DHCP Snoo支持 Option 82 功能之前，需要先开启交换机的DHCPSnoo功能，并配置信任端口。表2-5 DHCP Snoo支持Option 82 配置任务简介2-6所有和(c)技术配置任务说明详细配置开启 DHCP

28、Snoo支持 Option 82 功能必选2.2.3 1.配置 DHCP Snoo支持 Option 82 策略可选2.2.3 2.配置 Option 82 字段的格式可选2.2.3 3.配置 Option 82 中Circuit ID 的内容可选2.2.3 4.配置 Option 82 中Remote ID 的内容可选2.2.3 5.操作命令说明进入系统视图system-view-进入以太网端口视图erfaceerface-type erface-number-配置端口为 DHCP Snoo信任端口dhcp-snootrust必选缺省情况下，以太网交换机的所有端口均为不信任端口1. 开启 D

29、HCP Snoo支持 Option 82 功能表2-6 开启 DHCP Snoo支持 Option 82 功能2. 配置 DHCP Snoo支持 Option 82 策略表2-7 配置 DHCP Snoo支持 Option 82 策略 说明：当同时配置了全局处理策略和指定端口的端口处理策略时，在该端口上优先使用端口处理策略进行处理，其它端口使用全局处理策略进行处理。3. 配置 Option 82 字段的格式S2000-EA 系列以太网交换机支持对 Option 82 的进制数串格式（HEX），或 ASCII 码格式。格式进行配置，可以为十六2-7操作命令说明进入系统视图system-view-

30、对所有端口接收的包含 Option 82 选项请求报文配置全局处理策略dhcp-snooinformation strategy drop| keep | replace 可选缺省情况下，DHCP Snoo对带有 Option 82 选项的请求报文的处理策略为 replace进入以太网端口视图erfaceerface-type erface-number-对指定端口接收的包含 Option 82 选项请求报文配置端口处理策略dhcp-snooinformation strategy drop| keep | replace 可选缺省情况下，DHCP Snoo对带有 Option 82 选项的请

31、求报文的处理策略为 replace操作命令说明进入系统视图system-view-开启 DHCP Snoo支持 Option 82 功能dhcp-snoo information enable必选缺省情况下，DHCP Snoo支持Option 82 功能处于关闭状态配置任务说明详细配置配置 Option 82 字段的填充格式可选2.2.3 6.表2-8 配置 Option 82 的格式 说明：dhcp-snooinformation format 命令只对交换机默认填加的 Option 82 内容生效。如果用户通过命令配置了 Circuit ID 或 Remote ID 的内容，则相应子选项的

32、格式为 ASCII 格式，不再受 dhcp-snoo约束。information format 命令配置的4. 配置 Option 82 中 Circuit ID 的内容表2-9 配置 Option 82 中 Circuit ID 的内容 说明：如果在端口视图下既配置了指定 vlan vlan-id 参数的 Circuit ID 的内容，又配置了未指定 vlan vlan-id 参数的 Circuit ID 的内容，则对于该端口下指定 VLAN 内的 DHCP 报文，优先使用该 VLAN 的 Circuit ID 配置内容进行处理，其他 VLAN内的 DHCP 报文使用未配置 VLAN 参数的

33、 Circuit ID 的内容进行处理。在端口汇聚组中，本命令允许对主端口和成员端口进行分别配置，但添加 Option 82 信息时，以端口汇聚组中主端口上配置的 Circuit ID 内容为准。在端口上配置 Option 82 中Circuit ID 的内容，不会在端口汇聚时进行汇聚同步。5. 配置 Option 82 中 Remote ID 的内容配置 Option 82 中 Remote ID 的内容有两种方式。2-8操作命令说明进入系统视图system-view-进入以太网端口视图erfaceerface-type erface-number-配置 Option 82 中的Circui

34、t ID 的内容dhcp-snoo information vlanvlan-id circuit-id stringstring可选缺省情况下，Option 82 中 Circuit ID 的内容为接收 DHCP 客户端请求报文的端口所属 VLAN 的以及端口索引操作命令说明进入系统视图system-view-配置 Option 82 的格式dhcp-snooinformation format hex | ascii 可选缺省情况下，交换机对 Option 82 的格式为 hex系统视图下配置：对本设备所有端口生效。可以配置 Option 82 的内容为设备的系统名称或用户自定义的字符串，

35、格式为 ASCII。端口视图下配置：只对设备的当前端口生效。配置内容为用户自定义的字符串，可以指定 VLAN 来进行配置，即对于属于不同 VLAN 的报文可以添加不同的配置规则，格式为 ASCII。表2-10 配置 Option 82 中Remote ID 的内容说明：如果同时在系统视图和端口视图下配置了 Remote ID 的内容，则在指定端口上优先使用端口配置内容进行处理，其它端口上使用全局配置内容进行处理。 如果在端口视图下既配置了指定 vlan vlan-id 参数的 Remote ID 的内容，又配置了未指定 vlan vlan-id 参数的 Remote ID 的内容，则对于该端口

36、下指定 VLAN内的 DHCP 报文，优先使用该 VLAN 的 Remote ID 配置内容进行处理，其他 VLAN 内的 DHCP 报文使用未配置 VLAN 参数的 Remote ID 的内容进行处理。在汇聚端口组中，本命令允许对汇聚主端口和成员端口进行分别配置，但添加 Option 82 信息时，以汇聚端口组中主端口上配置的 Remote ID 内容为准。在端口上配置 Option 82 中 Remote ID 的内容，不会在端口汇聚时进行汇聚同步。2-9操作命令说明进入系统视图system-view-系统视图下，配置 Option 82中的Remote ID 的内容dhcp-snoo i

37、nformation remote-id sysname | string string 可选缺省情况下，Option 82 中的 Remote ID 的内容为接收DHCP客户端请求报文的 DHCPSnoo设备的 MAC 地址进入以太网端口视图erfaceerface-type erface-number-以太网端口视图下，配置 Option 82 中的 Remote ID 的内容dhcp-snoo information vlanvlan-id remote-id stringstring可选缺省情况下，Option 82 中的 Remote ID 的内容为接收DHCP客户端请求报文的 DH

38、CPSnoo设备的 MAC 地址6. 配置 Option 82 字段的填充格式表2-11 配置 Option 82 字段的填充格式2.2.4配置 IP 过滤功能表2-12 配置IP 过滤功能2-10操作命令说明进入系统视图system-view-进入以太网端口视图erfaceerface-type erface-number-开启IP 过滤功能ip check source ip-address mac-address 必选缺省情况下，端口上的IP 过滤功能处于关闭状态配置IP 静态绑定表项ip souric binding ip-address ip-address mac-address

39、mac-address 可选缺省情况下，没有配置IP 静态绑定表项操作命令说明进入系统视图system-view-配置 Option 82 字段的填充格式dhcp-snooinformation packet-format extended | standard 可选缺省情况下，Option 82 字段的填充格式为扩展格式 说明：配置 IP 过滤功能之前，需要先开启交换机的 DHCP Snoo任端口。功能，并配置信如果某端口下开启 IP 过滤功能时，指定了 mac-address 参数，则此端口下配置的 IP 静态绑定表项必须指定 mac-address mac-address 参数，否则该固

40、定 IP 地址的客户端发送的报文无法通过 IP 过滤检查。建议用户不要在汇聚组中的端口上配置 IP 过滤功能。手工配置的 IP 静态绑定表项的优先级高于 DHCP Snoo动态表项。具体表现在：如果手工配置的 IP 静态绑定表项中的 IP 地址与已存在的 DHCPSnoo动态表项的 IP 地址相同，则覆盖 DHCP Snoo动态表项的内容；如果先配置了 IP 静态绑定表项，再开启交换机的 DHCP Snoo功能，则DHCP 客户端不能通过该交换机获取到IP 静态绑定表项中已经存在的IP 地址。在端口上手工配置的 IP 静态绑定表项，其所属 VLAN 为端口的缺省 VLAN 值。2.3DHCP

41、Snoo配置显示完成上述配置后，在任意视图下执行 display 命令，可以显示配置 DHCP Snoo后的运行情况。通过查看显示信息，用户可以验证配置的效果。表2-13 DHCP Snoo配置显示2-11操作命令说明显示通过 DHCP Snoo的用户IP 地址和MAC 地址的对应关系display dhcp-snoo unitunit-id display 命令可在任意视图下执行显示 DHCP Snoo开启状态及信任端口信息display dhcp-snootrust显示IP 静态绑定表display ip souric binding vlan vlan-id |erfaceerface-

42、typeerface-number 2.4 DHCP Snoo典型配置举例2.4.1DHCP Snoo支持 Option 82 配置举例1. 组网需求如图 2-6所示，Switch 的端口 Ethernet1/0/5 与 DHCP 服务器端相连，端口Ethernet1/0/1，Ethernet1/0/2，Ethernet1/0/3 分别与 DHCP Cnt A、DHCP Cnt B、DHCP Cnt C 相连。在 Switch 上开启 DHCP Snoo功能。设置 Switch 上端口 Ethernet1/0/5 为 DHCP Snoo信任端口。在 Switch 上开启 DHCP Snoo支持

43、 Option 82 功能，且填充 Option 82中 Remote ID 字段的内容为 Switch 的系统名称。对经过端口 Ethernet1/0/3的属于 VLAN 1 的报文，填充 Option 82 中 Circuit ID 字段的内容为 abcd。2. 组网图DHCP ServerEth1/0/5SwitchDHCP SnooEth1/0/1Eth1/0/3Eth1/0/2C nt ACnt BC nt C图2-6 配置 DHCP Snoo支持 Option 82 功能组网图3. 配置步骤# 开启交换机 DHCP Snoo功能。 system-viewSwitch dhcp-sn

44、oo# 设置端口 Ethernet1/0/5 为 DHCP Snoo信任端口。Switcherface Ethernet1/0/5Switch-Ethernet1/0/5Switch-Ethernet1/0/5dhcp-snooquittrust2-12所有和(c)技术# 开启 DHCP Snoo支持 Option 82 功能。Switch dhcp-snooinformation enable# 配置 Option 82 的 Remote ID 字段的内容为 DHCP Snoo设备的系统名称。Switch dhcp-snooinformation remote-id sysname# 在以太

45、网端口 Ethernet1/0/3 上配置，对 VLAN 1 内 DHCP 报文的 Option 82 中Circuit ID 字段的内容填充为用户自定义内容 abcd。Switcherface Ethernet1/0/3Switch-Ethernet1/0/3 dhcp-snooabcdinformation vlan 1 circuit-id string2.4.2IP 过滤典型配置举例1. 组网需求如图 2-7所示，Switch 的端口 Ethernet1/0/1 连接 DHCP 服务器；端口 Ethernet1/0/2连接 Host A，Host A 的 IP 地址为 ，MAC 地址为

46、 0001-0001-0001；端口 Ethernet1/0/3 和端口 Ethernet1/0/4 连接 DHCP Cnt B 和 DHCP Cnt C。在 Switch 上开启 DHCP Snoo功能，并设置端口 Ethernet1/0/1 为 DHCPSnoo信任端口。在 Switch 的端口 Ethernet1/0/2，Ethernet1/0/3，Ethernet1/0/4 上开启 IP 过滤功能，防止客户端使用的不同源 IP 地址对服务器进行。在 Switch 上配置 IP 静态绑定表项，保证使用固定 IP 地址的客户端 Host A正常外部网络。2. 组网图图2-7 配置IP 过滤

47、组网图2-133. 配置步骤# 开启交换机 DHCP Snoo功能。 s y s t em- v i ew Swit c h dh c p - s noo# 设置端口 Ethernet1/0/1 为信任端口。 Swit c h e rface E t h e r n e t 1 / 0 / 1 Swit c h - E t h e r n e t 1 / 0 / 1 dh c p - s noo Swit c h - E t h e r n e t 1 / 0 / 1 qu it t r u s t# 分别启用端口 Ethernet1/0/2，Ethernet1/0/3 和 Ethernet1

48、/0/4 的 IP 过滤功能，根据端口接收的 IP 报文的源 IP 地址/源 MAC 地址对报文进行过滤。 Swit c h e rface E t h e r n e t 1 / 0 / 2 Swit c h - E t h e r n e t 1 / 0 / 2 i p c h ec k Swit c h - E t h e r n e t 1 / 0 / 2 qu it s ou r cei p - a dd r e ss mac - a dd r e ss Swit c h e rface E t h e r n e t 1 / 0 / 3 Swit c h - E t h e r n

49、 e t 1 / 0 / 3 i p c h ec k Swit c h - E t h e r n e t 1 / 0 / 3 qu it s ou r cei p - a dd r e ss mac - a dd r e ss Swit c h e rface E t h e r n e t 1 / 0 / 4 Swit c h - E t h e r n e t 1 / 0 / 4 i p c h ec k Swit c h - E t h e r n e t 1 / 0 / 4 qu it s ou r cei p - a dd r e ss mac - a dd r e ss # 在

50、 Switch 的端口 Ethernet1/0/2 上配置 IP 静态绑定表项。 Swit c h e rface E t h e r n e t 1 / 0 / 2 Swit c h - E t h e r n e t 1 / 0 / 2 i ps ou ri cb i nd i ngi p - a dd r e ss 1 . 1 . 1 . 1mac - a dd r e ss 0001 - 0001 - 00012-14第 3 章 DHCP 报文限速配置第3章 DHCP 报文限速配置3.1DHCP 报文限速简介为了防止 ARP和伪 DHCP 服务器，需要将 ARP 报文和 DHCP 报文

51、上送到CPU 处理，判断报文的量 ARP 报文或 DHCP 报文。但是，这样引入了新：如果用户发送大设备，会导致 CPU 处理负担过重，从而造成其他功能无法正常运行甚至设备瘫痪。S2000-EA 系列以太网交换机支持端口上 ARP 报文、DHCP 报文限速功能，使受到的端口暂时关闭，来避免此类对设备 CPU 的冲击。ARP 报文限速功能请参见本手册的“ARP”部分，本章只介绍 DHCP 报文限速功能。开启以太网端口的 DHCP 报文限速功能后，交换机对每秒内该端口接收的 DHCP 报文数量进行统计，如果每秒收到的 DHCP 报文数量超过设定值，则认为该端口处于超速状态（即受到 DHCP 报文）

52、。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免设备受到大量 DHCP 报文而瘫痪。同时，设备支持配置端口状态自动恢复功能，对于配置了 DHCP 限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。 说明：S2000-EA 系列以太网交换机设置了自动恢复功能，方便用户恢复超速端口。当端口同时设置 ARP 报文超速恢复时间和 DHCP 报文超速恢复时间时，以两者中的最短时间作为端口报文超速恢复时间。3.2配置DHCP 报文限速功能表3-1 配置 DHCP 报文限速功能3-1操作命令说明进入系统视图system-view-进入端口视图erfaceerface-

53、type erface-number-开启 DHCP 报文限速功能dhcp raimit enable必选缺省情况下，端口的 DHCP 报文限速功能处于关闭状态第 3 章DHCP 报文限速配置 说明：用户必须先开启交换机的端口状态自动恢复功能，才能设置端口状态自动恢复的时间。建议用户不要在汇聚组中的端口上配置 DHCP 报文限速功能。3.3DHCP 报文限速典型配置举例1. 组网需求如图 3-1所示，以太网交换机 Switch 的端口 Ethernet1/0/1 与 DHCP 服务器端相连，端口 Ethernet1/0/2 与 Cnt B 相连，端口 Ethernet1/0/11 与 Cnt

54、A 相连；在 Switch 上开启 DHCP Snoo功能，并设置端口 Ethernet1/0/1 为 DHCPSnoo信任端口。在端口 Ethernet1/0/11 上配置 DHCP 报文限速，并设置能通过的 DHCP 报文的最大速率为 100pps；配置 Switch 上 DHCP 报文超速恢复时间为 30 秒。3-2操作命令说明配置允许通过端口的 DHCP报文的最大速率dhcp raimit rate可选缺省情况下，端口能通过的 DHCP报文的最大速率为 15pps开启 DHCP 报文超速后，端口状态自动恢复功能dhcp protective-down recover enable可选缺

55、省情况下，交换机的端口状态自动恢复功能处于关闭状态设置 DHCP 报文超速后，端口状态自动恢复时间dhcp protective-down recoverervalerval可选缺省情况下，交换机的端口状态自动恢复时间为 300 秒第 3 章DHCP 报文限速配置2. 典型组网图图3-1 配置 DHCP 报文限速组网图3. 配置步骤# 开启交换机 DHCP Snoo功能。 system-view Switch dhcp-snoo# 设置端口 Ethernet1/0/1 为信任端口。Switcherface Ethernet1/0/1Switch-Ethernet1/0/1 dhcp-snoo

56、Switch-Ethernet1/0/1 quit# 开启 DHCP 报文超速恢复功能。trustSwitch dhcp protective-down recover enable# 设置 DHCP 报文超速恢复时间为 30 秒。Switch dhcp protective-down recovererval 30# 开启 Ethernet1/0/11 端口的 DHCP 报文限速功能。Switcherface Ethernet 1/0/11Switch-Ethernet1/0/11 dhcp raimit enable# 设置 Ethernet1/0/11 端口能通过的 DHCP 报文的最大速率为