ip helper-address
ip helper-address用法
ip helper-address用法IP helper-address是一种在网络设备中用来转发DHCP和BOOTP协议请求的命令,它的主要作用是帮助将这些请求从一个网络段转发到另一个网络段中的DHCP服务器。
在实际网络配置中,IP helper-address是一个非常常见且重要的命令,下面将详细介绍它的用法。
1. IP helper-address的基本概念IP helper-address命令是一种在网络设备上配置的命令,用于指定一个或多个DHCP服务器的IP地址。
它的原理是将接收到的DHCP和BOOTP协议请求封装在UDP数据包中,然后转发到配置的DHCP服务器上。
通过使用IP helper-address命令,网络管理员可以将DHCP服务器放置在不同的网络段,并确保客户端设备能够从任意网络段上获取IP地址。
2. IP helper-address的使用场景IP helper-address主要用于以下几种场景:- 跨网段的DHCP分发:当网络中的客户端设备和DHCP服务器处于不同的网络段时,IP helper-address命令可以将DHCP和BOOTP请求从客户端所在的网络段转发到DHCP服务器所在的网络段。
- 多个DHCP服务器:在大型网络中,可能会部署多个DHCP服务器来负载均衡或实现冗余。
通过配置多个IP helper-address命令,可以将DHCP请求转发到多个DHCP服务器上,并实现高可用性。
- IPv4和IPv6的互通:IP helper-address命令不仅适用于IPv4网络,也适用于IPv6网络。
通过配置IP helper-address命令,可以将IPv6的DHCPv6请求转发到DHCPv6服务器上,实现IPv6网络的自动配置。
3. IP helper-address的配置步骤下面是配置IP helper-address的基本步骤:3.1 进入网络设备的配置模式:首先,需要通过Telnet、SSH或控制台等方式登录到网络设备,并进入其配置模式。
思科DHCP 服务器&IP Helper Address 实验
DHCP服务器&IP Helper Address实验讲义一.实验目的本实验的目的是让学员掌握在路由器上配置DHCP服务器的方法,并通过配置帮助地址将客户向DHCP服务器发出的广播转发成定点广播,以通过路由器到达服务器。
二.实验设备Cisco路由器两部(1600系列一部,1700系列一部),带超级终端的PC机两台。
三.实验拓朴四.实验步骤1.配置路由器端口的IP地址:1)Cisco1600的配置:Cisco1600#config tCisco1600 (config)#int e0Cisco1600 (config-if)#ip address 192.168.1.1 255.255.255.0Cisco1600 (config-if)#no shutCisco1600 (config-if)#int s0Cisco1600 (config-if)#ip address 192.168.3.1 255.255.255.0Cisco1600 (config-if)#clock rate 56000Cisco1600(config-if)#no shut2)Cisco1700的配置:Cisco1700#config tCisco1700 (config)#int e0Cisco1700 (config-if)#ip address 192.168.2.1 255.255.255.0Cisco1700 (config-if)#no shutCisco1700 (config-if)#int s0Cisco1700 (config-if)#ip address 192.168.3.2 255.255.255.0Cisco1700(config-if)#no shut2.使用RIP协议作为该网络的路由协议,实现网络的动态路由配置。
完成配置后使用show ip route,show interface,show running-configuration查看路由配置的正确性或者使用ping命令验证网络之间是否完全互连。
网络安全设备的三种管理模式
网络安全设备的三种管理模式目前,随着互联网的高速发展,网络已深入到人们生活的各个方面。
网络带给人们诸多好处的同时,也带来了很多隐患。
其中,安全问题就是最突出的一个。
但是许多信息管理者和信息用户对网络安全认识不足,他们把大量的时间和精力用于提升网络的性能和效率,结果导致黑客攻击、恶意代码、邮件炸弹等越来越多的安全威胁。
为了防范各种各样的安全问题,许多网络安全产品也相继在网络中得到推广和应用。
针对系统和软件的漏洞,有漏洞扫描产品;为了让因特网上的用户能安全、便捷的访问公司的内部网络,有SSL VPN和IPSec VPN;为了防止黑客的攻击入侵,有入侵防御系统和入侵检测系统;而使用范围最为广泛的防火墙,常常是作为网络安全屏障的第一道防线。
网络中安全设备使用的增多,相应的使设备的管理变得更加复杂。
下面就通过一则实例,并结合网络的规模和复杂程度,详细阐述网络中安全设备管理的三种模式。
转播到腾讯微博图1 网络结构图一、公司网络架构1、总架构单位网络结构图如图1所示。
为了确保重要设备的稳定性和冗余性,核心层交换机使用两台Cisco 4510R,通过Trunk线连接。
在接入层使用了多台Cisco 3560-E交换机,图示为了简洁,只画出了两台。
在核心交换机上连接有单位重要的服务器,如DHCP、E-MAIL服务器、WEB服务器和视频服务器等。
单位IP地址的部署,使用的是C类私有192网段的地址。
其中,DHCP服务器的地址为192.168.11.1/24。
在网络的核心区域部署有单位的安全设备,安全设备也都是通过Cisco 3560-E交换机接入到核心交换机4510R上,图1中为了简洁,没有画出3560-E交换机。
2、主要网络设备配置单位网络主要分为业务网和办公网,业务网所使用VLAN的范围是VLAN 21至VLAN 100,办公网所使用的VLAN范围是VLAN 101至VLAN 200。
两个网都是通过两台核心交换机4510交换数据的,但在逻辑上是相互隔离的。
第10章考试练习题
1.网络管理员配置路由器以发送M 标志为0 和O 标志为1 的RA 消息。
当PC 尝试配置其IPv6 地址时,下列哪种说法正确描述了此配置的作用?它应使用RA 消息中独有的信息。
它应与一台DHCPv6 服务器联系以获取所需的所有信息。
它应使用RA 消息中包含的信息并联系DHCPv6 服务器以获取其他信息。
它应联系DHCPv6 服务器以获取前缀、前缀长度信息以及随机且唯一的接口ID。
2.启动PT隐藏并保存PT打开PT 练习。
执行练习说明中的任务,然后回答问题。
DHCP 服务器租用了多少个IP 地址,所配置的DHCP 池的数量是多少?(请选择两项。
)五个租赁IP 地址两个池三个租赁IP 地址一个池七个租赁IP 地址六个池3.网络管理员正在为公司实施DHCPv6。
管理员通过使用接口命令ipv6 nd managed-config-flag 来配置路由器以发送M 标志为1 的RA 消息。
此配置会对客户端的操作产生什么影响?客户端必须使用RA 消息中包含的信息。
客户端必须使用RA 消息提供的前缀和前缀长度,并从DHCPv6 服务器获取其他信息。
客户端必须使用DHCPv6 服务器提供的所有配置信息。
客户端必须使用DHCPv6 服务器提供的前缀和前缀长度,并生成随机接口ID。
4.[+] enabled in RA messages with the ipv6 nd other-config-flag command [+] clients send only DHCPv6 INFORMATION-REQUEST messages to the server[+] enabled on the client with the ipv6 address autoconfig command[#] the M flag is set to 1 in RA messages[#] uses the address command to create a pool of addresses for clients [#] enabled on the client with the ipv6 address dhcp command[+] Order does not matter within this group.[#] Order does not matter within this group.5.在哪两种情况下通常会将路由器配置为DHCPv4 客户端?(请选择两项。
华为三层交换机配置命令
华为三层交换机配置命令华为三层交换机配置命令你的三层交换机是不是经常让你机器不好使,看看下面的三层交换机配置文章,一切问题都能解决。
yjbys详细介绍实例讲解:全面的三层交换机配置比较全面的三层交换机配置实例,带命令解释哟!快来get吧!三层交换机配置:Enable //进入私有模式Configure terminal //进入全局模式service password-encryption //对密码进行加密hostname Catalyst 3550-12T1 //给三层交换机定义名称enable password 123456. //enable密码Enable secret 654321 //enable的加密密码(应该是乱码而不是654321这样)Ip subnet-zero //允许使用全0子网(默认都是打开的)Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1Service dhcp //提供DHCP服务ip routing //启用三层交换机上的路由模块Exit三层交换机配置:Vtp mode server //定义VTP工作模式为sever模式Vtp domain centervtp //定义VTP域的名称为centervtpVlan 2 name vlan2 //定义vlan并给vlan取名(如果不取名的话,vlan2的名字应该是vlan002)Vlan 3 name vlan3Vlan 4 name vlan4Vlan 5 name vlan5Vlan 6 name vlan6Vlan 7 name vlan7Vlan 8 name vlan8Vlan 9 name vlan9Exit三层交换机配置:interface Port-channel 1 //进入虚拟的`以太通道组1switchport trunk encapsulation dot1q //给这个接口的trunk封装为802.1Q的帧格式switchport mode trunk //定义这个接口的工作模式为trunkswitchport trunk allowed vlan all //在这个trunk上允许所有的vlan通过Interface gigabitethernet 0/1 //进入模块0上的吉比特以太口1 switchport trunk encapsulation dotlq //给这个接口的trunk封装为802.1Q的帧格式switchport mode trunk //定义这个接口的工作模式为trunkswitchport trunk allowed vlan all //在这个trunk上允许所有的vlan通过channel-group 1 mode on //把这个接口放到快速以太通道组1中Interface gigabitethernet 0/2 //同上switchport trunk encapsulation dotlqswitchport mode trunkswitchport trunk allowed vlan allchannel-group 1 mode on三层交换机配置:port-channel load-balance src-dst-ip //定义快速以太通道组的负载均衡方式(依*源和目的IP的方式)interface gigabitethernet 0/3 //进入模块0上的吉比特以太口3 switchport trunk encapsulation dotlq //给trunk封装为802.1Qswitchport mode trunk //定义这个接口的工作模式为trunkswitchport trunk allowed vlan all //允许所有vlan信息通过interface gigabitethernet 0/4 //同上switchport trunk encapsulation dotlqswitchport mode trunkswitchport trunk allowed vlan allinterface gigbitethernet 0/5 //同上switchport trunk encapsulation dotlqswitchport mode trunkswitchport trunk allowed vlan allinterface gigbitethernet 0/6 //同上switchport trunk encapsulation dotlqswitchport mode trunkswitchprot trunk allowed vlan all三层交换机配置:interface gigbitethernet 0/7 //进入模块0上的吉比特以太口7 Switchport mode access //定义这个接口的工作模式为访问模式switchport access vlan 9 //定义这个接口可以访问哪个vlan(实际就是分配这个接口到vlan)no shutdownspanning-tree vlan 6-9 cost 1000 //在生成树中,vlan6-9的开销定义为10000interface range gigabitethernet 0/8 – 10 //进入模块0上的吉比特以太口8,9,10switchport mode access //定义这些接口的工作模式为访问模式switchport access vlan 8 //把这些接口都分配到vlan8中no shutdown三层交换机配置:spanning-tree portfast //在这些接口上使用portfast(使用portfast以后,在生成树的时候不参加运算,直接成为转发状态)interface gigabitethernet 0/11 //进入模块0上的吉比特以太口11switchport trunk encapsulation dotlq //给这个接口封装为802.1Qswitchport mode trunk //定义这个接口的工作模式为trunkswitchport trunk allowed vlan all //允许所有vlan信息通过interface gigabitethernet 0/12 //同上switchport trunk encapsulation dotlqswitchport mode trunkswitchport trunk allowed vlan allinterface vlan 1 //进入vlan1的逻辑接口(不是物理接口,用来给vlan做路由用)ip address 172.16.1.7 255.255.255.0 //配置IP地址和子网掩码no shutdown三层交换机配置:standby 1 ip 172.16.1.9 //开启了冗余热备份(HSRP),冗余热备份组1,虚拟路由器的IP地址为172.16.1.9standby 1 priority 110 preempt //定义这个三层交换机在冗余热备份组1中的优先级为110,preempt是用来开启抢占模式interface vlan 2 //同上ip address 172.16.2.252 255.255.255.0no shutdownstandby 2 ip 172.16.2.254standby 2 priority 110 preemptip access-group 101 in //在入方向上使用扩展的访问控制列表101interface vlan 3 //同上ip address 172.16.3.252 255.255.255.0no shutdown三层交换机配置:standby 3 ip 172.16.3.254standby 3 priority 110 preemptip access-group 101 ininterface vlan 4 //同上ip address 172.16.4.252 255.255.255.0 no shutdownstandby 4 ip 172.16.4.254standby 4 priority 110 preemptip access-group 101 ininterface vlan 5ip address 172.16.5.252 255.255.255.0 no shutdownstandby 5 ip 172.16.5.254standby 5 priority 110 preemptip access-group 101 ininterface vlan 6ip address 172.16.6.252 255.255.255.0 no shutdown三层交换机配置:standby 6 ip 172.16.6.254standby 6 priority 100 preempt interface vlan 7ip address 172.16.7.252 255.255.255.0 no shutdownstandby 7 ip 172.16.7.254standby 7 priority 100 preempt interface vlan 8ip address 172.16.8.252 255.255.255.0 no shutdownstandby 8 ip 172.16.8.254standby 8 priority 100 preemptinterface vlan 9ip address 172.16.9.252 255.255.255.0no shutdown三层交换机配置:standby 9 ip 172.16.9.254standby 9 priority 100 preemptaccess-list 101 deny ip any 172.16.7.0 0.0.0.255 //扩展的访问控制列表101access-list 101 permit ip any anyInterface vlan 1 //进入vlan1这个逻辑接口Ip helper-address 172.16.8.1 //可以转发广播(helper-address 的作用就是把广播转化为单播,然后发向172.16.8.1)Interface vlan 2Ip helper-address 172.16.8.1Interface vlan 3ip helper-address 172.16.8.1interface vlan 4ip helper-address 172.16.8.1interface vlan 5ip helper-address 172.16.8.1interface vlan 6ip helper-address 172.16.8.1interface vlan 7ip helper-address 172.16.8.1interface vlan 9ip helper-address 172.16.8.1router rip //启用路由协议RIPversion 2 //使用的是RIPv2,如果没有这句,则是使用RIPv1network 172.16.0.0 //宣告直连的网段exit三层交换机配置:ip route 0.0.0.0 0.0.0.0 172.16.9.250 //缺省路由,所有在路由表中没有办法匹配的数据包,都发向下一跳地址为172.16.9.250这个路由器line con 0line aux 0line vty 0 15 //telnet线路(路由器只有5个,是0-4)password 12345678 //login密码loginendcopy running-config startup-config 保存配置【华为三层交换机配置命令】。
cisco DHCP
CISCO的路由器(IOS12.0 T1以后),可以配置为dhcp的中继设备,DHCP的客户端设备,也可以配置为DHCP的服务器。
Cisco设备上设置DHCP实例一位客户想把DHCP SERVER迁移到6509交换机的MSFC上,要求还挺复杂:1.同时为多个VLAN的客户机分配地址2.VLAN内有部分地址采用手工分配的方式3.为客户指定网关、Wins服务器等4.VLAN 2的地址租用有效期限为1天,其它为3天5.按MAC地址为特定用户分配指定的IP地址最终配置如下:ip dhcp excluded-address 10.1.1.1 10.1.1.19 //不用于动态地址分配的地址ip dhcp excluded-address 10.1.1.240 10.1.1.254ip dhcp excluded-address 10.1.2.1 10.1.2.19!ip dhcp pool global //global是pool name,由用户指定network 10.1.0.0 255.255.0.0 //动态分配的地址段domain-name //为客户机配置域后缀dns-server 10.1.1.1 10.1.1.2 //为客户机配置dns服务器netbios-name-server 10.1.1.5 10.1.1.6 //为客户机配置wins服务器netbios-node-type h-node //为客户机配置节点模式(影响名称解释的顺利,如h-node=先通过wins服务器解释...)lease 3 //地址租用期限: 3天ip dhcp pool vlan1network 10.1.1.0 255.255.255.0 //本pool是global的子pool, 将从global pool继承domain-name等option default-router 10.1.1.100 10.1.1.101 //为客户机配置默认网关!ip dhcp pool vlan2 //为另一VLAN配置的poolnetwork 10.1.2.0 255.255.255.0default-router 10.1.2.100 10.1.2.101lease 1!ip dhcp pool vlan1_john //总是为MAC地址为...的机器分配...地址host 10.1.1.21 255.255.255.0client-identifier 010050.bade.6384 //client-identifier=01加上客户机网卡地址!ip dhcp pool vlan1_tomhost 10.1.1.50 255.255.255.0client-identifier 010010.3ab1.eac8相关的DHCP调试命令:no service dhcp //停止DHCP服务[默认为启用DHCP服务]sh ip dhcp binding //显示地址分配情况show ip dhcp conflict //显示地址冲突情况debug ip dhcp server {events | packets | linkage} //观察DHCP服务器工作情况如果DHCP客户机分配不到IP地址,常见的原因有两个。
锐捷全网防arp欺骗配置案例
ip address 192.168.100.2 255.255.255.0
!
aaa authorization ip-auth-mode dhcp-server//开启aaa认证的IP授权模式为DHCP获取
radius-server key public
ip default-gateway 192.168.100.1
switchport mode trunk
dot1x port-control auto
!
interface GigabitEthernet 0/2//开启端口安全,静态ip/MAC绑定
description Connect_PC2
switchport access vlan 20
switchport port-security
service dhcp address-bind port//开启端口的DHCP动态绑定
ip helper-address 192.168.200.2
ip dhcp relay information option82//基于dhcp server option82相关字段进行dhcp relay
b)绑定下联设备管理地址的IP/MAC;
address-bind 192.168.2.2 00d0.f8bc.8b0c
c)设置绑定上联口,保证上联口正常通信;
address-bind uplink FastEthernet 0/1
d) arp-check默认开启;
8610实施要点
DHCP Snooping+DAI
service dhcp
service dhcp address-bind//开启全局的DHCP动态绑定,和2126配置有区别
H3C交换机配置DHCP配置
【SwitchA采用全局地址池方式分配地址相关配置】
1. 创建(进入)VLAN10
[SwitchA]vlan 10
2. 将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1
3. 创建(进入)VLAN接口10
H3C交换机配置DHCP配置 (2010-05-27 14:32:22)转载
标签: 杂谈
1,交换机作DHCP Server
『配置环境参数』
1. PC1、PC2的网卡均采用动态获取IP地址的方式
2. PC1连接到交换机的以太网端口0/1,属于VLAN10;PC2连接到交换机的以太网端口0/2,属于VLAN20
[SwitchA]interface Vlan-interface 10
4. 为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0
5. 在VLAN接口10上选择全局地址池方式分配IP地址
16. 使能VLAN接口20的DHCP中继功能
[SwitchA-Vlan-interface20]dhcp select relay
17. 为VLAN接口20配置DHCP服务器的地址
[SwitchA-Vlan-interface20]ip relay address 192.168.0.10
[SwitchA-Vlan-interface10]dhcp select global
6. 创建全局地址池,并命名为”vlan10”
[SwitchA]dhcp server ip-pool vlan10
ip helper-address命令工作过程
ip helper-address命令工作过程1典型配置命令Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#interface Ethernet0Router1(config-if)#ip helper-address 172.25.1.1Router1(config-if)#ip helper-address 172.25.10.7Router1(config-if)#endRouter1#关于以上配置的讨论1 在客户端设备和DHCP服务器不再同一广播域内的时候,中间设备即路有器(路有功能的设备)必须要能够转发这种广播包,具体到cisco的设备上,则启用ip helper-address命令,来实现这种中继。
2 DHCP服务器要给终端设备分配地址则需要掌握两个重要的信息,第一,该客户端设备所在网络的子网掩码,DHCP服务器依据子网掩码的信息来判断,服务器该分配哪个IP地址,以使得该ip地址在那个子网内,第二,DHCP服务器必须知道客户端的MAC地址,以维护DHCP服务器的ip 地址和MAC之间的映射关系,由此保证同样一台客户机,每次启动后能获得和前一次相同的ip地址。
3 配置了ip helper-address命令之后的路由器在中继DHCP请求时的工作过程如下:a,DHCP客户端发送请求,由于没有ip地址,所以自己的源IP地址为0.0.0.0,而且也不知道目的DHCP服务器的地址,所以为广播255.255.255.255。
该数据报中当然还包含其他信息,比如二层的信息,源mac地址,和目的mac地址FFFFFFFFFFFF。
b,当路由器接收到该数据报的时候,他就用自己的接口地址(接收到数据报的接口)来取代源地址0.0.0.0,并且用ip help-address 命令中指定的地址(上例中为172.25.1.1以及172.25.10.7)来取代目的地址255.255.255.255c 当DHCP服务器接收到路有器转发过来的DHCP请求包时,他有了足够的信息,(由源IP地址中的地址,确定客户机所在的子网掩码,由此分配相应地址池中的空闲地址,并且知道了客户端的MAC地址,把它写入自己的数据库,建立IP 地址和MAC的映射关系)然后DHCP服务器做出响应,并且由路有器把数据报转发会客户端。
ip helper
ip helper-address典型配置命令Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#interface Ethernet 0Router1(config-if)#ip helper-address 172.25.1.1 /*指定dhcp服务器的地址,表示通过Ethernet0向该服务器发送DHCP请求包*/Router1(config-if)#ip helper-address 172.25.10.7 /*作用同上*/Router1(config-if)#endRouter1#关于以上配置的讨论1. 在客户端设备和DHCP服务器不再同一广播域内的时候,中间设备即路有器(路有功能的设备)必须要能够转发这种广播包,具体到cisco的设备上,则启用ip helper-address命令,来实现这种中继。
2. DHCP服务器要给终端设备分配地址则需要掌握两个重要的信息,第一,该客户端设备所在网络的子网掩码,DHCP服务器依据子网掩码的信息来判断,服务器该分配哪个IP地址,以使得该ip地址在那个子网内,第二,DHCP服务器必须知道客户端的MAC地址,以维护DHCP服务器的ip 地址和MAC之间的映射关系,由此保证同样一台客户机,每次启动后能获得和前一次相同的ip地址。
3 .配置了ip helper-address命令之后的路由器在中继DHCP请求时的工作过程如下:a,DHCP客户端发送请求,由于没有ip地址,所以自己的源IP地址为0.0.0.0,而且也不知道目的DHCP服务器的地址,所以为广播255.255.255.255。
该数据报中当然还包含其他信息,比如二层的信息,源mac地址,和目的mac地址FFFFFFFFFFFF。
b,当路由器接收到该数据报的时候,他就用自己的接口地址(接收到数据报的接口)来取代源地址0.0.0.0,并且用ip help-address 命令中指定的地址(上例中为172.25.1.1以及172.25.10.7)来取代目的地址255.255.255.255c 当DHCP服务器接收到路有器转发过来的DHCP请求包时,他有了足够的信息,(由源IP地址中的地址,确定客户机所在的子网掩码,由此分配相应地址池中的空闲地址,并且知道了客户记得MAC地址,把它写入自己的数据库,建立IP地址和MAC的映射关系)然后DHCP服务器做出响应,并且由路有器把数据报转发会客户端。
cisco路由器保存配置
cisco路由器保存配置所处状态各类router>用户处在用户命令状态,可以查阅网络和主机router#用户处在特权模式,可以查阅状态,还可以看见和修改路由器的设置内容router(config)#全局布局状态,可以设置路由的全局参数router(config-if)#;router(config-line)#;router(config-router)#.....处在局部布局状态,可以设置路由的局部参数配置端口ip命令enconfigt//全局模式interfacef0/0ipaddress..1....0//设置端口ipnoshu//生效exitinterfacef0/1ipaddress..10 0noshuexitenddisable配置静态路由命令enconfigt//全局模式iproute........10.2//到...0/24通过..10.2接口endshowiproute//可以看到前面标明s,即为静态路由布局动态路由(rip)命令enconfigt//全局模式norouterip//严禁rip协议routeripnetwork..1.0//network参数为路由的两个端口对应的网络地址 network..10.0exitenddisable配置dhcp命令enconfigt//全局模式ipdhcpexcluded-address..1.1//需要排除的ip地址ipdhcppoolgr-dhcp-pool//ip地址池名default-server..1.1//指定dhcp服务器network..1....0//布局网络dns-server61..7.1//配置dns服务器exitenddisable可以通过iphelper-address指定dhcp中继代理interfacefastethernet0/1ipaddress..1 0iphelper-address..10.2//布局dhcp中继代理,dhcp 配置nat命令enconfigt//全局模式interfacef0/0ipaddress..1 0ipnatinside//内部端口noshuexitinterfacef0/1ipaddress..10 0ipnatoutside//外部端口noshuexitaccess-list1permitany//设置一个可访问列表mask...0//设置分配池ipnatinsideresourcelist1poolgr-nat-pooloverload showipnattraslationsclearipnattraslation*其它shrunning-config//显示当前运行配置shstartup-config//表明开机布局shiproute//显示路由shnattraslations//表明nat当前情况。
Packet Tracer 5——16DHCP 中继配置
Packet Tracer 5.0建构CCNA实验攻略(16)——DHCP 中继配置所谓DHCP中继,即是跨网段为主机分配IP地址等配置,DHCP Server与DHCP Client处于不同的网段,这时就需要DHCP Relay。
一、实验配置拓扑图图一实验环境说明:由于模拟的服务器只能提供一个地址池,因此我使用两个DHCP服务器,分别创建DHCP地址池:192.168.3.0/24:192.168.1.2及192.168.4.0/24:192.168.1.4。
配置了一个DNS服务器192.168.1.3。
图二DHCP服务器地址池配置图三DNS服务器二、实验配置1、Router2的配置Router2#sh startup-configUsing 580 bytes!version 12.4service password-encryption!hostname Router2!!enable password 7 0822455D0A16!!!ip ssh version 1!!interface FastEthernet0/0no ip addressduplex autospeed autoshutdown!interface FastEthernet0/1ip address 192.168.1.1 255.255.255.0duplex autospeed auto!interface Serial0/3/0ip address 192.168.2.1 255.255.255.0clock rate 56000!interface Vlan1no ip addressshutdown!router eigrp 10\\启用EIGRP路由协议network 192.168.1.0network 192.168.2.0auto-summary!ip classless!!!!!line con 0line vty 0 4password 7 0822455D0A16login!!end2、Router0的配置Router0#sh startup-confUsing 625 bytesversion 12.4service password-encryption!hostname Router0!!!!!ip ssh version 1!!interface FastEthernet0/0ip address 192.168.4.1 255.255.255.0ip helper-address 192.168.1.4\\配置DHCP中继代理,DHCP 服务器是192.168.1.4duplex autospeed auto!interface FastEthernet0/1ip address 192.168.3.1 255.255.255.0ip helper-address 192.168.1.2\\配置DHCP中继代理,DHCP 服务器是192.168.1.2duplex autospeed auto!interface Serial0/3/0ip address 192.168.2.2 255.255.255.0!interface Vlan1no ip addressshutdown!router eigrp 10 \\启用EIGRP路由协议network 192.168.3.0network 192.168.2.0network 192.168.4.0auto-summary!ip classless!!!!line con 0line vty 0 4password 7 0822455D0A16login!!end3、配置DHCP Client让客户PC动态获取IP地址。
思科交换机简单配置(通用教程)
端口镜像配置
• Cisco 3560G配置
全局配置下:
Switch(config)#monitor session 1 destination interface gigabitEthernet 0/1 Switch(config)#monitor session 1 source interface gigabitEthernet 0/2 both Switch(config)#monitor session 1 source interface gigabitEthernet 0/3 both
• 双工模式: Switch(config-if)#duplex ? auto Enable AUTO duplex configuration full Force full duplex operation half Force half-duplex operation
Switch(config-if)#duplex auto Switch(config-if)# • 端口描述 Switch(config-if)#description vlan 10 trunk Switch(config-if)#
• 全局模式下进入端口后,可以对端口进行配置。 Switch#conf t Switch(config)#interface gigabitEthernet 0/1 Switch(config-if)# 批量修改端口 range命令
端口速率: Switch(config-if)#speed ? 10 Force 10 Mbps operation 100 Force 100 Mbps operation 1000 Force 1000 Mbps operation auto Enable AUTO speed configuration Switch(config-if)#speed auto Switch(config-if)#
DHCP中继实验
DHCPserver(config)#ip dhcp pool vlan_3
DHCPserver(dhcp-config)#network10.1.3.0 /24
DHCPserver(dhcp-config)#default-router10.1.3.1
Ethernet0/3 unassigned YES unset administratively down down
Loopback03.3.3.3 YES manual up up
DHCPserver#
三、测试一下DHCPserver与SW1间的连通性:
SW1#ping10.1.4.1
Type escape sequence to abort.
DHCPserver#
四、对PC1和PC2进行配置:
对PC1:
PC1#config t
Enter configuration commands, one per line. End with CNTL/Z.
PC1(config)#no ip routing
PC1(config)#int f0/0
PC1(config-if)#duplex full
SW1(config-if)#ip helper-address10.1.4.1//设置helper-address
SW1(config-if)#int vlan 3
SW1(config-if)#ip helper-address1ห้องสมุดไป่ตู้.1.4.1
SW1(config-if)#end
*Mar 1 01:13:06.119: %SYS-5-CONFIG_I: Configured from console by console
ip helper address
ip helper-address 详解(及相关服务)使用帮助地址(Helper Address)路由器是不转达发广播的,帮助地址通过将这些广播数据包直接转发到目标服务器而帮助客户机和服务器建立联系。
帮助地址命令将广播性目的地地址改变为单点传达室送地址(或一个定向的广播-在某个子网内的本广播),使该广播消息可以被路由到一个具体的目的地而不是所有地方使用"ip helper-address address"接口配置命令配置一个可能会接收到广播的接口。
在该命令中"ADDRESS"是指在转发用户数据报协议(UDP)广播时所使用的目的地地址。
该指定地址可以是远程服务器的单点传送地址或定向广播地址。
如果定义了"ip helper-address address"命令,为8个缺省UDP端口进行转发的功能就被自动启用,它们是:TFTP(69)、DNS(53)、时间(37)、NETBIOS服务(137)、N ETBIOS数据报服务(138)、BOOTP服务器(67)、BOOTP客户机(68)和终端访问控制器访问控制系统TACACS(49)。
如果定义了"ip helper-address address"命令和指定了这 8 个 U D P 端口的"ip forward-protocol udp"命令,那么寻址这8个UDP端口的广播数据包将被自动转发。
"ip forward-protocol"描述:"ip forward-protocol"命令描述udpUDP-传输层协议port(任选)当指定了"udp"关键字时,可以定义UDP目的地端口号或端口名nd网络磁盘;无盘Sun工作站使用的一种老的协议sdns网络安全协议实例:Interface Ethernet 0Ip address 172.16.1.100 255.255.255.0Ip helper-address 172.16.2.2ip forward-protocol udp 3000no ip forward-protocol udp tftp。
华为华三三层交换机配置
华为华三三层交换机配置展开全文华为三层交换机配置方法(1)本文以华为华三通信的H3C S3600-28P-SI为例,配置前首先要确定型号后缀是SI还是EI,EI的支持所有协议,SI的不支持OSPS动态协议,因此SI配置路由时可以使用静态协议和RIP协议,具体配置如下:<H3C>system-view //进入系统视图[H3C]display current-configuration //显示当前配置//以下开始配置//第一步:划分VLAN,并描述vlan 1description local-S3600vlan 2description link-to-wenquanvlan 3description link-to-ruzhouvlan 4description link-to-xiaotunvlan 5description link-to-baofengvlan 6description link-to-pingxivlan 7description link-to-pingnanvlan 8description Uplink-to-Putianvlan 9description link-to-pingxicentre//第二步:给VLAN 划网关interface Vlan-interface2description link to wenquanip address 10.41.77.41 255.255.255.192 interface Vlan-interface3description link to ruzhouip address 10.41.77.105 255.255.255.192 interface Vlan-interface4description link to xiaotunip address 10.41.77.169 255.255.255.192 interface Vlan-interface5description link to baofengip address 10.41.77.233 255.255.255.192 interface Vlan-interface6description link to pingxiip address 10.41.78.41 255.255.255.192 interface Vlan-interface7description link to pingnanip address 10.41.78.105 255.255.255.192 interface Vlan-interface8description uplink to putianip address 10.41.244.102 255.255.255.252 interface Vlan-interface9description link to pingxicentreip address 10.41.80.233 255.255.255.192 //第三步:给VLAN 指定端口interface Ethernet1/0/2description link to wenquanport access vlan 2interface Ethernet1/0/3description link to ruzhouport access vlan 3interface Ethernet1/0/4description link to xiaotunport access vlan 4interface Ethernet1/0/5description link to baofengport access vlan 5interface Ethernet1/0/6description link to pingxiport access vlan 6interface Ethernet1/0/7description link to pingnanport access vlan 7interface Ethernet1/0/8description uplink to putianport access vlan 8interface Ethernet1/0/9 to Ethernet1/0/24 description link to pingxicentreport access vlan 9//第四步:配置路由协议//(1)用RIP配动态路由ripnetwork 10.41.77.41network 10.41.77.105network 10.41.77.169network 10.41.77.233network 10.41.78.41network 10.41.78.105network 10.41.80.233network 10.41.244.102//(2)配静态路由(只用对远华为三层交换机配置命令分类:默认栏目2007.6.2 07:28 作者:weiwei2501 | 评论:1 | 阅读:0Enable //进入私有模式Configure terminal //进入全局模式service password-encryption //对密码进行加密hostname Catalyst 3550-12T1 //给三层交换机定义名称enable password 123456. //enable密码Enable secret 654321 //enable的加密密码(应该是乱码而不是654321这样)Ip subnet-zero //允许使用全0子网(默认都是打开的)Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1Service dhcp //提供DHCP服务ip routing //启用三层交换机上的路由模块ExitVtp mode server //定义VTP工作模式为sever模式Vtp domain centervtp //定义VTP域的名称为centervtpVlan 2 name vlan2 //定义vlan并给vlan取名(如果不取名的话,vlan2的名字应该是vlan002)Vlan 3 name vlan3Vlan 4 name vlan4Vlan 5 name vlan5Vlan 6 name vlan6Vlan 7 name vlan7Vlan 8 name vlan8Vlan 9 name vlan9Exitinterface Port-channel 1 //进入虚拟的以太通道组1Interface gigabitethernet 0/1 //进入模块0上的吉比特以太口1 channel-group 1 mode on //把这个接口放到快速以太通道组1中Interface gigabitethernet 0/2 //同上channel-group 1 mode onport-channel load-balance src-dst-ip //定义快速以太通道组的负载均衡方式(依靠源和目的IP的方式)interface gigabitethernet 0/3 //进入模块0上的吉比特以太口3interface gigabitethernet 0/4 //同上interface gigbitethernet 0/5 //同上interface gigbitethernet 0/6 //同上interface gigbitethernet 0/7 //进入模块0上的吉比特以太口7 no shutdownspanning-tree vlan 6-9 cost 1000 //在生成树中,vlan6-9的开销定义为10000interface range gigabitethernet 0/8 – 10 //进入模块0上的吉比特以太口8,9,10no shutdownspanning-tree portfast //在这些接口上使用portfast(使用portfast以后,在生成树的时候不参加运算,直接成为转发状态)interface gigabitethernet 0/11 //进入模块0上的吉比特以太口11interface gigabitethernet 0/12 //同上interface vlan 1 //进入vlan1的逻辑接口(不是物理接口,用来给vlan做路由用)ip address 172.16.1.7 255.255.255.0 //配置IP地址和子网掩码no shutdownstandby 1 ip 172.16.1.9 //开启了冗余热备份(HSRP),冗余热备份组1,虚拟路由器的IP地址为172.16.1.9standby 1 priority 110 preempt //定义这个三层交换机在冗余热备份组1中的优先级为110,preempt是用来开启抢占模式interface vlan 2 //同上ip address 172.16.2.252 255.255.255.0no shutdownstandby 2 ip 172.16.2.254standby 2 priority 110 preemptip access-group 101 in //在入方向上使用扩展的访问控制列表101interface vlan 3 //同上ip address 172.16.3.252 255.255.255.0no shutdownstandby 3 ip 172.16.3.254standby 3 priority 110 preemptip access-group 101 ininterface vlan 4 //同上ip address 172.16.4.252 255.255.255.0no shutdownstandby 4 ip 172.16.4.254standby 4 priority 110 preemptip access-group 101 ininterface vlan 5ip address 172.16.5.252 255.255.255.0 no shutdownstandby 5 ip 172.16.5.254standby 5 priority 110 preemptip access-group 101 ininterface vlan 6ip address 172.16.6.252 255.255.255.0 no shutdownstandby 6 ip 172.16.6.254standby 6 priority 100 preemptinterface vlan 7ip address 172.16.7.252 255.255.255.0 no shutdownstandby 7 ip 172.16.7.254standby 7 priority 100 preemptinterface vlan 8ip address 172.16.8.252 255.255.255.0 no shutdownstandby 8 ip 172.16.8.254standby 8 priority 100 preemptinterface vlan 9ip address 172.16.9.252 255.255.255.0 no shutdownstandby 9 ip 172.16.9.254standby 9 priority 100 preemptaccess-list 101 deny ip any 172.16.7.0 0.0.0.255 //扩展的访问控制列表101access-list 101 permit ip any anyInterface vlan 1 //进入vlan1这个逻辑接口Ip helper-address 172.16.8.1 //可以转发广播(helper-address的作用就是把广播转化为单播,然后发向172.16.8.1)Interface vlan 2Ip helper-address 172.16.8.1Interface vlan 3ip helper-address 172.16.8.1interface vlan 4ip helper-address 172.16.8.1interface vlan 5ip helper-address 172.16.8.1interface vlan 6ip helper-address 172.16.8.1interface vlan 7ip helper-address 172.16.8.1interface vlan 9ip helper-address 172.16.8.1router rip //启用路由协议RIPversion 2 //使用的是RIPv2,如果没有这句,则是使用RIPv1network 172.16.0.0 //宣告直连的网段exitip route 0.0.0.0 0.0.0.0 172.16.9.250 //缺省路由,所有在路由表中没有办法匹配的数据包,都发向下一跳地址为172.16.9.250这个路由器line con 0line aux 0line vty 0 15 //telnet线路(路由器只有5个,是0-4)password 12345678 //login密码loginendcopy running-config startup-config 保存配置cisco 3550Switch# configure terminalSwitch(config)#vtp mode transparentSwitch(config)#vlan 10Switch(config-vlan)# name vlan10Switch(config)#exitSwitch(config)#vlan 11Switch(config-vlan)name vlan11Switch(config-vlan)endSwitch#configure terminalSwitch(config)#interface fastethernet0/9Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface fastethernet0/10Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface fastethernet0/11Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 11Switch(config-if)#exitSwitch(config)#interface fastethernet0/12Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 11Switch(config-if)#exitSwitch(config)#interface vlan10Switch(config-if)#ip address 192.168.0.1 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#interface vlan11Switch(config-if)#ip address 192.168.1.1 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#ip routingSwitch(config)#ip forward-protocol udpSwitch(config)#inter vlan 10ip helper 172.16.11.255 //这个命令又是什么意思?是不是转发整个网段的UDP协议?为什么用到了172.16.11.255这个地址?Switch(config)#exitSwitch(config)#inter vlan 11Switch(config-if)#ip helper 172.16.10.255 //同上?Switch(config-if)#exitSwitch(config)#ip route 0.0.0.0 0.0.0.0 Vlan10Switch(config)#ip route 0.0.0.0 0.0.0.0 Vlan11Switch(config)#conf tSwitch(config)#access-list 103 permit ip 172.16.11.00.0.0.255 172.16.10.0 0.0.0.255Switch(config)#access-list 103 permit udp any any eq bootpc Switch(config)#access-list 103 permit udp any any eq tftpSwitch(config)#access-list 103 permit udp any eq bootpc any Switch(config)#access-list 103 permit udp any eq tftp anySwitch(config)#inter vlan 10Switch(config-if)#ip directed-broadcast 103 //请解释一下这个的具体含义,本人不是太明白,懂一点意思(直接广播这个列表?是不是)Switch(config-if)#exitSwitch(config)#access-list 104 permit ip 172.16.10.0 0.0.0.255 172.16.11.0 0.0.0.255Switch(config)#access-list 104 permit udp any any eq bootpc Switch(config)#access-list 104 permit udp any any eq tftpSwitch(config)#access-list 104 permit udp any eq bootpc any Switch(config)#access-list 104 permit udp any eq tftp anySwitch(config)#inter vlan 11Switch(config-if)#ip directed-broadcast 104 //同上Switch(config)#endSwitch#copy run star华为三层交换机配置实例一例华为三层交换机配置实例一例服务器1双网卡,内网IP:192.168.0.1,其它计算机通过其代理上网PORT1属于VLAN1PORT2属于VLAN2PORT3属于VLAN3VLAN1的机器可以正常上网配置VLAN2的计算机的网关为:192.168.1.254配置VLAN3的计算机的网关为:192.168.2.254即可实现VLAN间互联如果VLAN2和VLAN3的计算机要通过服务器1上网则需在三层交换机上配置默认路由系统视图下:ip route-static 0.0.0.0 0.0.0.0 192.168.0.1然后再在服务器1上配置回程路由进入命令提示符route add 192.168.1.0 255.255.255.0 192.168.0.254route add 192.168.2.0 255.255.255.0 192.168.0.254这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~华为路由器与CISCO路由器在配置上的差别"华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致,有些方面还根据国内用户的需求作了很好的改进。
IP防ARP欺骗配置
静态IP防ARP欺骗配置:一、启用arp-check的功能在全局配置模式下开启ARP-CHECK功能S2126G-2(config)#port-security arp-check二、启用anti-arp-spoofing功能S2126G-2(config-if)#anti-ARP-Spoofing ip 网关地址三、启用端口安全并手动绑定IP与MACS2126G-2(config)#int f 0/3 //进入接口3S2126G-2(config-if)#switchport port-security //启用端口安全S2126G-2(config-if)#switchport port-security mac-address 4444.4444.4444 ip-address 192.168.44.55 //在接口下绑定PC的IP与MACS2126G-2(config-if)# switchport port-security maximum 1 //设置此端口最多学习1个MAC 地址,那么此接口不会再去学习其它的MAC地址了。
注:若此接口增加PC。
必须在交换机的对应接口上将IP与MAC绑定一下。
例如:PC的IP:192.168.44.57 MAC:2222.2222.2222S2126G-2(config)#int f 0/3S2126G-2(config-if)#switchport port-security maximum 2 // 将最大学习MAC地址的值改设为2,否则将无法绑定新机器S2126G-2(config-if)#switchport port-security mac-address 2222.2222.2222 ip-address 192.168.44.57配置文件如下:Building configuration...Current configuration : 451 bytes!version 1.0!hostname S2126G-2vlan 1!port-security arp-checkinterface fastEthernet 0/3Anti-ARP-Spoofing ip 192.168.44.1switchport port-securityswitchport port-security maximum 2switchport port-security mac-address 4444.4444.4444 ip-address 192.168.44.55switchport port-security mac-address 2222.2222.2222 ip-address 192.168.44.57 !endSwitch#动态IP防ARP欺骗配置:一、启用arp-check的功能在全局配置模式下开启ARP-CHECK功能S2126G-2(config)#port-security arp-check二、启用DHCP中继S2126G-2(config)#service dhcpS2126G-2(config)#ip helper-address 192.168.44.5三、启用端口安全S2126G-2(config)#int f 0/3S2126G-2(config-if)#switchport port-security四、启用端口自动绑定功能S2126G-2(config-if)#service dhcp address-bind port配置文件如下:S2126G-2#sh ruSystem software version : 1.68 Build Apr 25 2007 ReleaseBuilding configuration...Current configuration : 195 bytes!version 1.0!hostname S2126G-2vlan 1!port-security arp-checkservice dhcpservice dhcp address-bind portip helper-address 192.168.44.5interface fastEthernet 0/5switchport port-security。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ip helper-address
典型配置命令
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface Ethernet 0
Router1(config-if)#ip helper-address 172.25.1.1 /*指定dhcp服务器的地址,表示通过Ethernet0向该服务器发送DHCP请求包*/
Router1(config-if)#ip helper-address 172.25.10.7 /*作用同上*/
Router1(config-if)#end
Router1#
关于以上配置的讨论
1. 在客户端设备和DHCP服务器不再同一广播域内的时候,中间设备即路由器(路由功能的设备)
必须要能够转发这种广播包,具体到cisco的设备上,则启用ip helper-address 命令,来实现这种中继。
2. DHCP服务器要给终端设备分配地址则需要掌握两个重要的信息,
第一,该客户端设备所在网络的子网掩码,DHCP服务器依据子网掩码的信息来判断,服务器该分配哪个IP地址,
以使得该ip地址在那个子网内,
第二,DHCP服务器必须知道客户端的MAC地址,以维护DHCP服务器的ip 地址和MAC之间的映射关系,由此保证同样一台客户机,
每次启动后能获得和前一次相同的ip地址。
3 .配置了ip helper-address命令之后的路由器在中继DHCP请求时的工作过程如下:
a,DHCP客户端发送请求,由于没有ip地址,所以自己的源IP地址为0.0.0.0,而且也不知道目的DHCP服务器的地址,所以为广播255.255.255.255。
该数据报中当然还包含其他信息,比如二层的信息,源mac地址,和目的mac 地址FFFFFFFFFFFF。
b,当路由器接收到该数据报的时候,他就用自己的接口地址(接收到数据报的接口)来取代源地址0.0.0.0,
并且用ip help-address 命令中指定的地址(上例中为172.25.1.1以及
172.25.10.7)来取代目的地址255.255.255.255
c 当DHCP服务器接收到路有器转发过来的DHCP请求包时,他有了足够的信息,(由源IP地址中的地址,确定客户机所在的子网掩码,
由此分配相应地址池中的空闲地址,并且知道了客户记得MAC地址,把它写入自己的数据库,建立IP地址和MAC的映射关系)然后DHCP服务器做出响应,并且由路由器把数据报转发会客户端。
(整个过程应该在客户机和服务器之间还有一次会话,由于这不是路由器DHCP配置的讨论重点,这里不谈)
4. 例子中配置了两个DHCP服务器,我们必须分别用ip helper-address 命令指明,路由器会转发DHCP请求包到所有的DHCP服务器上。
很多企业的做法都是至少有两台DHCP服务器,有提高冗余和可靠性的作用。
此时,如果客户端受到几个来自不同DHCP服务器的应答,
则只选择最先接收到的应答数据报。
5. 必须要注意的是;ip helper-address 命令不仅仅是只转发DHCP请求包,事实上,在默认情况下,他还转发其他的UDP报(比如DNS请求)
到ip helper-address命令所指定的服务器上,所以这种额外的数据流量可能会增加DHCP服务器链路的负担以及服务器CPU负担,可能会引起问题,关于解决办法,将在后面讨论。
所以cisco 的ios 提供了限制ip helpe-address 命令所带来的负面影响的方法。
解决实例;CISCO路由器允许用no ip forward-protocol udp 命令来禁止对所无意义的UDP`数据报的转发配置路由器为DHCP服务器,
使之给dhcp客户端动态分配ip地址
问题的提出:把路由器配置为dhcp的服务器端,以对路由器下所连接的客户工作站进行ip地址的分配。
(这可真是一个了不起的改进!路由器从此腰身一变,看上去更加多姿多彩了)解决实例;下面的配置命令,可以配置路由器为DHCP服务器,用以给DHCP 客户端动态分配ip地址。
Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.
Router1(config)#service dhcp //开启 DHCP 服务
Router1(config)#ip dhcp pool 172.25.1.0/24 //定义DHCP地址池
Router1(dhcp-config)#network 172.25.1.0 255.255.255.0 // 用network 命令来定义网络地址的范围
Router1(dhcp-config)#default-router 172.25.1.1 //定义要分配的网关地址
Router1(dhcp-config)#exit
Router1(config)#ip dhcp excluded-address 172.25.1.1 172.25.1.50 //该范围内的ip地址不能分配给客户端
Router1(config)#ip dhcp excluded-address 172.25.1.200 172.25.1.255 //该范
围内的ip地址不能分配给客户端
Router1(config)#end
Router1#
关于配置的相关讨论
1 .CISCO路由器的dhcp服务器功能也是在ios 12.0(1)T.以后才出现的,这一功能的出现,
使我们没有必要在专门网络的中心(或者说企业本部)另外配置一台DHCP server,从而降低了网络构建成本。
2. 在路由器上直接配置dhcp服务器相比于传统的在专门服务器上实现dhcp有其独到的优点。
比如
A 由于传统的构建方法是,在企业的总部设立DHCP服务器,各分支机构通过路有器去获取ip地址,所以当dhcp服务器出现问题的时候,
整个企业的网络都会受到影响,而如果把dhcp 服务器功能设在各个分支机构的路由器上实现,则某个分支机构的路由器DHCP出现问题,
就只能影响该分支机构的网络本身,而其他分支机构则不受任何影响。
从而可见,实现了问题的局部化。
B 在各分支机构的路由器上实现DHCP服务器功能后,大量的DHCP UDP请求报文将不会通过wan link 转发到中心机构上去,
由此,相比于传统的方式,它有减少广域网负荷的优点。
C 同样的道理,在各分支机构的路由器上实现DHCP服务器功能后,如果某条广域网连路坏了,本地的局域网依然能够正常运行
D 基于路由器的DHCP 具有很高的可管理性,它通过ios的命令界面是比较容易配置的。
3 .上边的配置例子,我们用ip dhcp excluded-address 命令来指定不能用来被分配的ip地址,
这种配置往往是很需要的(甚至说是必需的,几乎所有的;路有其DHCP 服务器配置中都会有),
因为往往有一些地址我们会用来作为其他的用途,比如,我们至少应该保留路有器本身的地址不被分配给dhcp客户端,
还有一些比如说网络服务器,打印机等等,我们也往往会给他指定静态的地址,所以这一部分地址。
我们不允许路有其分配出去,
上例中的172.25.1.1 到172.25.1.50 之间,172.25.1.200 到172.25.1.255的地址就做了保留。
4 .当路由器给客户端动态分配地址后,就会绑定(binding)分配的ip地址以及客户端设备的mac地址信息,保存在路由器的配置中,
以便下一次相同的mac地址请求dhcp服务也能够获得同样的ip地址。
下面给出的例子是,用show ip dhcp binding 命令显示的 ip binding的信息。
其中Lease expiration 表示该ip 地址,客户端还能占有的时间,(当然客户端可以在期满之前再次发送dhcp请求报,
事实上dhcp的规范也是有这样的规定的,即在租期还有一半时间的时候就会发出dhcp请求,如果租期更新失败,那么再过省下时间的一半的时候,他还会发出dhcp的请求,依此类推)。