在DHCP地址池视图下配置客户端MAC地址与IP地址的静态绑定,需要注意什么?
在DHCP地址池视图下执行命令 static-bind ip-address ip-address [ mask-length | mask mask ] hardware-address hardware-address [ ethernet | token-ring ] }
需要注意的是,配置静态绑定时,必须确保绑定的MAC地址与实际用户的MAC地址保持一致,并且配置的MAC地址必须是有效的MAC地址(MAC地址为4~39个字符的字符串,字符串中只能包括十六进制数和“-”,且形式为H-H-H…,除最后一个H表示2位或4位十六进制数外,其他均表示4位十六进制数。例如:aabb-cccc-dd为有效的客户端硬件地址,aabb-c-dddd和aabb-cc-dddd为无效的客户端硬件地址。)
指定接口引用不存在的DHCP策略会怎样?
执行命令 dhcp policy policy-name 创建DHCP策略,并在指定接口下执行 dhcp apply-policy policy-name 命令引用该策略后,该接口接收到DHCP请求报文时,则根据配置顺序逐个匹配DHCP策略中通过 class ip-pool 命令指定的DHCP用户类,如果接收DHCP请求报文的接口引用的DHCP策略不存在或匹配的DHCP用户类关联的DHCP地址池不存在时,IP地址和其他参数分配会失败。
地址池IP网段范围规划小了会发生什么?
如果可供分配的IP网段范围过小,会导致动态分配的IP地址范围内没有空闲地址,DHCP服务器无法为剩余的DHCP客户端分配地址,因此建议用户合理规划IP网段范围,保证所有客户端都能获取到IP地址。
配置DHCP Snooping之后,下挂用户无法获取IP地址
缺省情况下,在开启 DHCP Snooping 功能后,设备上所有支持 DHCP Snooping 功能的端口均为不信任端口。如图9,需要通过 dhcp snooping trust 命令将连接DHCP服务器的端口设置为信任端口,并且设置的信任端口与DHCP客户端相连的端口必须在同一个VLAN内,以便DHCP Snooping设备正常转发DHCP服务器的应答报文,保证DHCP客户端能够从合法的DHCP服务器获取IP地址。
图1 信任端口和非信任端口
私网客户端申请IP地址时,作为DHCP服务器的华三V5设备和华三V7设备配置上有何不同?
对于处于VPN私网中的客户端申请IP地址,若V5设备作为DHCP服务器,不需要在DHCP地址池下绑定VPN实例,客户端就可以获取到IP地址。但当V7设备作为DHCP服务器时,需要在相应地址池中配置绑定对应的VPN实例。例如位于VPN实例abc中的客户端申请IP地址时,需要在DHCP服务器上对应的DHCP地址池视图下执行 vpn-instance abc 命令来绑定VPN实例abc,原因是DHCP服务器可以将网络划分成公网和VPN私网,未配置VPN属性的地址池被划分到公网,配置了VPN属性的地址池被划分到相应的VPN私网,这样服务器就可以更好的选择合适的地址池来为客户端分配租约并且记录该客户端的状态信息。
配置DHCP服务器或DHCP中继生效的前提是什么?
只有在系统视图下执行 dhcp enable 命令后,DHCP服务器或DHCP中继配置才能生效。
记录DHCP客户端IP地址与MAC地址的对应关系,缺省是开启的吗?
缺省情况下,DHCP Snooping表项记录功能处于关闭状态,如果有其他特性(例如IP Source Guard)打算利用这些表项信息,可以在系统视图、VLAN视图、VSI视图或接口视图下执行 dhcp snooping binding record 命令生成DHCP Snooping安全表项。需要注意的是,不同产品系列支持开启DHCP snooping功能和表项记录功能的视图不同,请以设备实际情况为准,
重新指定地址池动态分配的IP地址范围时,应该注意什么?
在DHCP地址池视图下,使用 address range 命令修改已存在的动态分配的IP地址范围时,新的IP地址范围需要覆盖之前该DHCP地址池已分配出去的IP地址,否则系统会提示配置错误。如果用户仍然打算继续配置,需要使用 reset dhcp server ip-in-use 命令释放分配的地址租约后,再进行 address range 命令配置。
DHCP Snooping的信任端口和非信任端口设置在什么位置上?
网络中如果存在私自架设的非法DHCP服务器,则可能导致DHCP客户端获取到错误的IP地址和网络配置参数,从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口。
在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
交换机作为DHCP服务器,如何配置才能使网络中的设备获得固定IP或不与已有IP地址的设备发生地址冲突?
交换机作为DHCP服务器为客户端分配IP地址,如果想让某客户端获得固定IP地址,而不是随机获取IP地址。可以在DHCP地址池视图下,使用 static-bind ip-address 命令配置该客户端的静态地址绑定。当客户端申请IP地址时,服务器会根据客户端的客户ID或MAC地址分配固定的IP地址。例如,在DHCP地址池0中配置为客户端ID为00aa-aabb的客户端,固定分配IP地址10.1.1.1/24。
<Sysname> system-view
[Sysname] dhcp server ip-pool 0
[Sysname-dhcp-pool-0] static-bind ip-address 10.1.1.1 mask 255.255.255.0 client-identifier 00aa-aabb
如果网络中的设备(如网关、FTP服务器)已占用了DHCP服务器的地址池中的IP地址,为避免DHCP服务器把这些IP地址分配出去,引起IP地址冲突。请在作为DHCP服务器的设备的系统视图下,使用 dhcp server forbidden-ip 命令配置全局不参与自动分配的IP地址;或在DHCP地址池视图下,使用 forbidden-ip 命令配置地址池中不参与自动分配的IP地址。
标签: 网站客户端Id