华为三层交换机5700DHCP配置

华为三层交换机5700DHCP配置
交换机配置DHCP配置
1，交换机作DHCP Server
『配置环境参数』
1. PC1、PC2的⽹卡均采⽤动态获取IP地址的⽅式
2. PC1连接到交换机的以太⽹端⼝0/1，属于VLAN10；PC2连接到交换机的以太⽹端⼝0/2，属于VLAN20
3. 三层交换机SwitchA的VLAN接⼝10地址为10.1.1.1/24，VLAN接⼝20地址为10.1.2.1/24
『组⽹需求』
1. PC1可以动态获取10.1.1.0/24⽹段地址，并且⽹关地址为10.1.1.1；PC2可以动态获取10.1.
2.0/24⽹段地址，并且⽹关地址为10.1.2.1『DHCP Server配置流程流程』
可以完成对直接连接到三层交换机的PC机分配IP地址，也可以对通过DHCP中继设备连接到三层交换机的PC机分配IP地址。

分配地址的⽅式可以采⽤接⼝⽅式，或者全局地址池⽅式。

【SwitchA采⽤接⼝⽅式分配地址相关配置】
1. 创建（进⼊）VLAN10
[SwitchA]vlan 10
2. 将E0/1加⼊到VLAN10
[SwitchA-vlan10]port Ethernet 0/1
3. 创建（进⼊）VLAN接⼝10
[SwitchA]interface Vlan-interface 10
4. 为VLAN接⼝10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0
5. 在VLAN接⼝10上选择接⼝⽅式分配IP地址
[SwitchA-Vlan-interface10]dhcp select interface
6. 禁⽌将PC机的⽹关地址分配给⽤户
[SwitchA]dhcp server forbidden-ip 10.1.1.1
【SwitchA采⽤全局地址池⽅式分配地址相关配置】
1. 创建（进⼊）VLAN10
[SwitchA]vlan 10
2. 将E0/1加⼊到VLAN10
[SwitchA-vlan10]port Ethernet 0/1
3. 创建（进⼊）VLAN接⼝10
[SwitchA]interface Vlan-interface 10
4. 为VLAN接⼝10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0
5. 在VLAN接⼝10上选择全局地址池⽅式分配IP地址
[SwitchA-Vlan-interface10]dhcp select global
6. 创建全局地址池，并命名为”vlan10”
[SwitchA]dhcp server ip-pool vlan10
7. 配置vlan10地址池给⽤户分配的地址范围以及⽤户的⽹关地址
[SwitchA-dhcp-vlan10]network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-vlan10]gateway-list 10.1.1.1
8. 禁⽌将PC机的⽹关地址分配给⽤户
[SwitchA]dhcp server forbidden-ip 10.1.1.1
【补充说明】
以上配置以VLAN10的为例，VLAN20的配置参照VLAN10的配置即可。

在采⽤全局地址池⽅式时，需新建⼀个与”vlan10”不同名的全局地址池。

经过以上配置，可以完成为PC1分配的IP地址为10.1.1.0/24，同时PC1的⽹关地址为10.1.1.1；为PC2分配的IP地址为10.1.2.0/24，同时PC2的⽹关地址为10.1.2.1。

VLAN接⼝默认情况下以全局地址池⽅式进⾏地址分配，因此当VLAN接⼝配置了以全局地址池⽅式进⾏地址分配后，查看交换机当前配置时，在相应的VLAN接⼝下⽆法看到有关DHCP的配置。

利⽤全局地址池⽅式，可以完成为⽤户分配与三层交换机本⾝VLAN接⼝地址不同⽹段的IP地址。

2，DHCP Relay配置
『配置环境参数』
1. DHCP Server的IP地址为19
2.168.0.10/24
2. DHCP Server连接在交换机的G1/1端⼝，属于vlan100，⽹关即交换机vlan接⼝100的地址192.168.0.1/24
3. E0/1-E0/10属于vlan10，⽹段地址10.10.1.1/24
4. E0/11-E0/20属于vlan20，⽹段地址10.10.2.1/24
『组⽹需求』
1. 在SwitchA上配置DHCP Relay使下⾯⽤户动态获取指定的相应⽹段的IP地址
2. PC1、PC2均可以ping通⾃⼰的⽹关，同时PC1、PC2之间可以互访
『交换机DHCP Relay配置流程』
DHCP Relay的作⽤则是为了适应客户端和服务器不在的情况，通过Relay，不同⼦⽹的⽤户可以到同⼀个DHCP Server申请IP地址，这样便于地址池的管理和维护。

【SwitchA相关配置】
1. 全局使能DHCP功能（缺省情况下，DHCP功能处于使能状态）
[SwitchA]dhcp enable
2. 创建（进⼊）VLAN100
[SwitchA]vlan 100
3. 将G1/1加⼊到VLAN100
[SwitchA-vlan100]port GigabitEthernet 1/1
4. 创建（进⼊）VLAN接⼝100
[SwitchA]interface Vlan-interface 100
5. 为VLAN接⼝100配置IP地址
[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0
6. 创建（进⼊）VLAN10
[SwitchA]vlan 10
7. 将E0/1-E0/10加⼊到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
8. 创建（进⼊）VLAN接⼝10
[SwitchA]interface Vlan-interface 10
9. 为VLAN接⼝10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0
10. 使能VLAN接⼝10的DHCP中继功能
[SwitchA-Vlan-interface10]dhcp select relay
11. 为VLAN接⼝10配置DHCP服务器的地址
[SwitchA-Vlan-interface10]ip relay address 192.168.0.10
12. 创建（进⼊）VLAN20
[SwitchA-vlan10]vlan 20
13. 将E0/11-E0/20加⼊到VLAN20
[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20
14. 创建（进⼊）VLAN接⼝20
[SwitchA]interface Vlan-interface 20
15. 为VLAN接⼝20配置IP地址
[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0
16. 使能VLAN接⼝20的DHCP中继功能
[SwitchA-Vlan-interface20]dhcp select relay
17. 为VLAN接⼝20配置DHCP服务器的地址
[SwitchA-Vlan-interface20]ip relay address 192.168.0.10
【补充说明】
也可以在全局配置模式下，使能某个或某些VLAN接⼝上的DHCP中继功能，例如：[SwitchA]dhcp select relay interface Vlan-interface 10 3，DHCP Snooping
『配置环境参数』
1. DHCP Server连接在交换机SwitchA的G1/1端⼝，属于vlan10，IP地址为10.10.1.253/24
2. 端⼝E0/1和E0/2同属于vlan10
『组⽹需求』
1. PC1、PC2均可以从指定DHCP Server获取到IP地址
2. 防⽌其他⾮法的DHCP Server影响⽹络中的主机
『交换机DHCP-Snooping配置流程』
当交换机开启了DHCP-Snooping后，会对DHCP报⽂进⾏侦听，并可以从接收到的DHCP Request或DHCP Ack报⽂中提取并记录IP地址和MAC地址信息。

另外，DHCP-Snooping允许将某个物理端⼝设置为信任端⼝或不信任端⼝。

信任端⼝可以正常接收并转发DHCP Offer报⽂，⽽不信任端⼝会将接收到的DHCP Offer报⽂丢弃。

这样，可以完成交换机对假冒DHCP Server的屏蔽作⽤，确保客户端从合法的DHCP Server获取IP地址。

【SwitchA相关配置】
1. 创建（进⼊）VLAN10
[SwitchA]vlan 10
2. 将端⼝E0/1、E0/2和G1/1加⼊到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1
3. 全局使能dhcp-snooping功能
[SwitchA]dhcp-snooping
4. 将端⼝G1/1配置为trust端⼝，
[SwitchA-GigabitEthernet1/1]dhcp-snooping trust
【补充说明】
由于DHCP服务器提供给⽤户包含了服务器分配给⽤户的IP地址的报⽂――”dhcp offer”报⽂，由G1/1端⼝进⼊SwitchA并进⾏转发，因此需要将端⼝G1/1配置为”trust”端⼝。

如果SwitchA上⾏接⼝配置为Trunk端⼝，并且连接到DHCP中继设备，也需要将上⾏端⼝配置为”trust”端⼝。