一．組網(wǎng)需求
位于總部的Cisco Catalyst 3745交換機(jī)作為DHCP Server為分支機(jī)構(gòu)的辦公區(qū)域工作站分配IP地址,，分支機(jī)構(gòu)使用一臺(tái)S7506R交換機(jī)作為中心節(jié)點(diǎn),，并作為DHCP Relay轉(zhuǎn)發(fā)工作站的DHCP請(qǐng)求。同時(shí)分支機(jī)構(gòu)使用S7502作為自己的DHCP Server為實(shí)驗(yàn)室設(shè)備分配獨(dú)立IP網(wǎng)段的地址,。具體需求如下：
l
總部的DHCP Server為辦公室設(shè)備分配192.168.10.0/24網(wǎng)段的地址,，有效期為12小時(shí),，并指定該地址池的DNS和WINS服務(wù)器分別為192.169.100.2和192.168.100.3。
l
分支機(jī)構(gòu)的S7506R作為DHCP Relay轉(zhuǎn)發(fā)辦公室工作站和實(shí)驗(yàn)室設(shè)備的DHCP請(qǐng)求,，辦公室有一臺(tái)服務(wù)器為手工配置的固定IP地址接入網(wǎng)絡(luò),。
l
Lab1內(nèi)有一臺(tái)S7502以太網(wǎng)交換機(jī)作為Lab DHCP Server，為Lab1的設(shè)備分配192.168.17.0/24網(wǎng)段的地址,，有效期1天,；為Lab2的設(shè)備分配192.168.19.0/24網(wǎng)段的地址，有效期2天,。Lab DHCP Server與DHCP Relay使用172.16.2.4/30網(wǎng)段進(jìn)行互連,。
l
配置DHCP Relay的地址檢查功能，使通過DHCP Server獲得合法IP地址的設(shè)備才可以訪問外部網(wǎng)絡(luò),。
l
配置辦公區(qū)域的DHCP Snooping設(shè)備（S7502）支持DHCP Option82,，將本地的端口信息添加到DHCP報(bào)文的Option82字段中。
l
配置DHCP Relay設(shè)備支持DHCP Option82,，Relay在接收到攜帶有DHCP Option82選項(xiàng)的DHCP報(bào)文時(shí),，保留原有字段不作替換。
l
配置DHCP Server支持DHCP Option82,，為Snooping設(shè)備端口為Ethernet2/0/12端口接入的客戶端分配192.168.10.2～192.168.10.25之間的地址,；為Snooping設(shè)備端口為Ethernet2/0/13端口接入的客戶端分配192.168.10.100～192.168.10.110之間的地址。


二．組網(wǎng)圖


DHCP Relay/Snooping 綜合配置舉例組網(wǎng)示意圖


三． 配置步驟


1. 配置DHCP Relay


DHCP Relay組網(wǎng)


# 配置將辦公室內(nèi)的DHCP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)至HQ的DHCP Server,。
<SwitchA> system-view
[SwitchA] dhcp-server 1 ip 192.168.0.3
[SwitchA] interface Vlan-interface10
[SwitchA-Vlan-interface10] ip address 192.168.10.1 24
[SwitchA-Vlan-interface10] dhcp-server 1


# 配置將Lab2內(nèi)的DHCP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)至Lab DHCP Server,。
[SwitchA-Vlan-interface10] quit
[SwitchA] dhcp-server 2 ip 192.168.17.1
[SwitchA] interface Vlan-interface 25
[SwitchA-Vlan-interface25] ip address 192.168.19.1 24
[SwitchA-Vlan-interface25] dhcp-server 2


# 配置Vlan-interface17的接口地址為172.16.2.5/30，用于與Lab DHCP Server轉(zhuǎn)發(fā)跨網(wǎng)段的DHCP報(bào)文,。
[SwitchA-Vlan-interface25] quit
[SwitchA] interface Vlan-interface 17
[SwitchA-Vlan-interface17] ip address 172.16.2.5 30


# 配置DHCP Relay的地址檢查功能,，這里注意要將Lab DHCP Server和Office Server的IP地址和MAC地址作為靜態(tài)表項(xiàng)配置到安全功能中，對(duì)這兩個(gè)表項(xiàng)不作檢查,。
[SwitchA-Vlan-interface17] quit
[SwitchA] dhcp-security static 192.168.10.3 0014-222c-aa69
[SwitchA] dhcp-security static 192.168.17.1 0010-5ce9-1dea
[SwitchA] interface Vlan-interface 10
[SwitchA-Vlan-interface10] address-check enable
[SwitchA-Vlan-interface10] quit
[SwitchA] interface Vlan-interface 25
[SwitchA-Vlan-interface25] address-check enable
[SwitchA-Vlan-interface25] quit


# 配置DHCP Relay支持DHCP Option82,，并在收到帶有Option82內(nèi)容的DHCP報(bào)文時(shí)采取保留原字段的策略。
[SwitchA] dhcp relay information enable
[SwitchA] dhcp relay information strategy keep


# 為保證跨網(wǎng)段的DHCP報(bào)文能夠正確轉(zhuǎn)發(fā),，需要配置路由協(xié)議,，并將本設(shè)備的接口網(wǎng)段進(jìn)行發(fā)布。這里以RIP為例,。其他路由協(xié)議的配置方法請(qǐng)參考產(chǎn)品手冊(cè)的路由協(xié)議部分,。
[SwitchA] rip
[SwitchA-rip] network 192.168.10.0
[SwitchA-rip] network 192.168.19.0
[SwitchA-rip] network 172.16.0.0


2. 配置Lab DHCP Server

Lab DHCP Server組網(wǎng)


# 配置Lab2的地址池，并配置地址范圍,、有效期,，網(wǎng)關(guān)地址。
<LAB> system-view
[LAB] dhcp enable
[LAB] dhcp server ip-pool lab2
[LAB-dhcp-lab2] network 192.168.19.0 255.255.255.0
[LAB-dhcp-lab2] expired day 2
[LAB-dhcp-lab2] gateway-list 192.168.19.1


# 配置Vlan-interface17的IP地址為172.16.2.6/30，并使其工作在全局地址池模式
[LAB-dhcp-lab2] quit
[LAB] interface Vlan-interface 17
[LAB-Vlan-interface17] ip address 172.16.2.6 30
[LAB-Vlan-interface17] dhcp select global


# 由于Lab1連接到Vlan-interface15接口,，因此,，只需要配置Vlan-interface15接口工作在接口地址池模式，即可為Lab1的設(shè)備分配192.168.17.0/24網(wǎng)段的地址,。
[LAB-Vlan-interface17] quit
[LAB] interface Vlan-interface 15
[LAB-Vlan-interface15] ip address 192.168.17.1 24
[LAB-Vlan-interface15] dhcp select interface
[LAB-Vlan-interface15] dhcp server expired day 1
[LAB-Vlan-interface15] quit


# 為保證該服務(wù)器能夠正常轉(zhuǎn)發(fā)DHCP報(bào)文,，需要配置路由協(xié)議，參照Relay的配置,，這里以RIP為例,。其他路由協(xié)議的配置方法請(qǐng)參考產(chǎn)品手冊(cè)中的描述,。
[LAB] rip
[LAB-rip] network 192.168.17.0
[LAB-rip] network 172.16.0.0


3. 配置DHCP Snooping


DHCP Snooping組網(wǎng)


# 啟動(dòng)DHCP Snooping功能,，并配置DHCP-Snooping支持Option 82功能。
<Snooping> system-view
[Snooping] dhcp-snooping
[Snooping] dhcp-snooping information enable


# 配置連接到DHCP服務(wù)器方向的端口Ethernet2/0/1為DHCP信任端口,。
[Snooping] interface Ethernet 2/0/1
[Snooping-Ethernet2/0/1] dhcp-snooping trust


4. 配置HQ DHCP Server
# H3C系列產(chǎn)品在DHCP Option82選項(xiàng)中添加端口編號(hào),、VLAN編號(hào)和Snooping/Relay設(shè)備MAC地址。一條完整的Option82信息由兩個(gè)子選項(xiàng)的數(shù)值組合構(gòu)成：
Circuit ID子選項(xiàng),，這里主要標(biāo)識(shí)客戶端所在的VLAN和接入DHCP-Snooping設(shè)備的端口編號(hào),。


Circuit ID子選項(xiàng)報(bào)文結(jié)構(gòu)
例如，由端口Ethernet2/0/12接入的客戶端,，增加了Option82信息的DHCP報(bào)文中Circuit ID子選項(xiàng)信息應(yīng)為：0x0106000400010011,，其中01060004為固定取值，0001標(biāo)識(shí)接入的端口所在VLAN為VLAN1,，0011為端口的絕對(duì)編號(hào),，比實(shí)際端口編號(hào)小1，即實(shí)際連接端口為Ethernet2/0/12,。
Remote ID子選項(xiàng),，這里主要標(biāo)識(shí)客戶端接入的DHCP-Snooping設(shè)備的MAC地址。


Remote ID子選項(xiàng)報(bào)文結(jié)構(gòu)
例如,，由MAC地址為000f-e234-bc66的DHCP-Snooping設(shè)備接入的DHCP客戶端,，增加了Option82信息的DHCP報(bào)文中Remote ID子選項(xiàng)信息應(yīng)為：02080006000fe234bc66，其中02080006為固定取值,，000fe234bc66為DHCP-Snooping設(shè)備的MAC地址,。
本舉例中只需根據(jù)端口編號(hào)進(jìn)行IP地址的分配，因此,，在DHCP Server上只需對(duì)Circuit ID子選項(xiàng)中標(biāo)識(shí)端口編號(hào)的字段進(jìn)行匹配即可,。




# 配置DHCP Server功能，并配置使用Option82信息進(jìn)行地址分配,。
Switch> enable
Switch(config)# configure terminal
Enter Configuration commands, one per line. End with CNTL/Z.
Switch(config)# service dhcp
Switch(config)# ip dhcp use class


# 為從Snooping設(shè)備的Ethernet2/0/12端口接入的客戶端建立DHCP分類,，并配置匹配的Option82信息為Circuit ID 子選中的端口編號(hào)，無需匹配的內(nèi)容可以使用通配符“*”代替,。
Switch(config)# ip dhcp class office1
Switch(dhcp-class)# relay agent information hex 0106000400010011*
Swtich(dhcp-class)# exit


# 為從Snooping設(shè)備的Etherent2/0/13端口接入的客戶端配置分類和匹配信息,，方法與上面命令相似,，只將Option82信息中的端口標(biāo)識(shí)由11改為12。
Switch(config)# ip dhcp class office2
Switch(dhcp-class)# relay agent information hex 0106000400010012*


# 創(chuàng)建Office地址池,，并為兩個(gè)DHCP分類分別指定地址范圍,。
Switch(config)# ip dhcp pool office
Switch(dhcp-pool)# network 192.168.10.0
Switch(dhcp-pool)# class office1
Switch(dhcp-pool-class)# address range 192.168.10.2 192.168.10.25
Switch(dhcp-pool-class)# exit
Switch(dhcp-pool)# class office2
Switch(dhcp-pool-class)# address range 192.168.10.100 192.168.10.110
Switch(dhcp-pool-class)# exit


# 為DHCP地址池配置租約期限，網(wǎng)關(guān),、DNS和WINS服務(wù)器地址,。
Switch(dhcp-pool)# lease 0 12
Switch(dhcp-pool)# default-router 192.168.10.1
Switch(dhcp-pool)# dns-server 192.168.100.2
Switch(dhcp-pool)# netbios-name-server 192.168.100.3


經(jīng)過上述配置后，DHCP服務(wù)器即可為Office區(qū)域的設(shè)備自動(dòng)分配IP地址及網(wǎng)關(guān),、DNS,、WINS服務(wù)器地址。