【中小型企业网络实战案例 三】配置DHCP动态分配地址
发布作者:微思网络 发布时间:2023-12-26 浏览量:0次
配置DHCP服务器
网络管理员为每个终端配置固定的IP地址,当网络规模逐渐增大,为终端手工配置地址变得繁琐和难以管理。为减轻管理负担,管理员决定所有终端用户全部改为自动从DHCP服务器获取地址,除了个别必须固定地址的终端。
配置核心交换机作为DHCP Server,使所有部门的用户都能动态获取到正确的IP地址。以下以CORE1作为主用DHCP Server,以部门A为例,说明DHCP Server的配置步骤。
1.配置CORE1作为主用DHCP服务器,分配地址段的前一半地址。
<CORE1> system-view [CORE1] dhcp enable [CORE1] ip pool 10 [CORE1-ip-pool-10] gateway-list 192.168.10.3 //配置网关地址 [CORE1-ip-pool-10] network 192.168.10.0 mask 24 //配置可分配的IP地址范围 [CORE1-ip-pool-10] excluded-ip-address 192.168.10.128 192.168.10.254 //配置排除地址段后一半地址 [CORE1-ip-pool-10] lease day 0 hour 20 minute 0 //配置租期 [CORE1-ip-pool-10] dns-list 8.8.8.8 //配置DNS服务器地址 [CORE1-ip-pool-10] quit
2.配置CORE2作为备用DHCP服务器,分配地址段的后一半地址。
<CORE2> system-view [CORE2] dhcp enable [CORE2] ip pool 10 [CORE2-ip-pool-10] gateway-list 192.168.10.3 [CORE2-ip-pool-10] network 192.168.10.0 mask 24 [CORE2-ip-pool-10] excluded-ip-address 192.168.10.1 192.168.10.2 [CORE2-ip-pool-10] excluded-ip-address 192.168.10.4 192.168.10.127 [CORE2-ip-pool-10] lease day 0 hour 20 minute 0 [CORE2-ip-pool-10] dns-list 8.8.8.8 [CORE2-ip-pool-10] quit
对VLAN20配置DHCP动态分配地址方式同上。
3.配置部门A的用户从全局地址池获取IP地址。
[CORE1] interface vlanif 10 [CORE1-Vlanif10] dhcp select global //配置部门A的用户从全局地址池获取IP地址 [CORE1-Vlanif10] quit [CORE2] interface vlanif 10 [CORE2-Vlanif10] dhcp select global [CORE2-Vlanif10] quit
4.使用display ip pool命令,查看全局地址池10的配置和使用情况。
[CORE1] display ip pool name 10 Pool-name : 10 Pool-No : 0 Lease : 0 Days 20 Hours 0 Minutes Domain-name : - DNS-server0 : 8.8.8.8 NBNS-server0 : - Netbios-type : - Position : Local Status : Unlocked Gateway-0 : 192.168.10.3 Network : 192.168.10.0 Mask : 255.255.255.0 VPN instance : -- ----------------------------------------------------------------------------- Start End Total Used Idle(Expired) Conflict Disable ----------------------------------------------------------------------------- 192.168.10.1 192.168.10.254 253 1 125(0) 0 127
在DHCP服务器配置完成后,需要设置终端电脑网卡为自动获取地址,这样终端才能正常从DHCP服务器获取到地址,正常上网。
在DHCP服务器配置完成后,需要设置终端电脑网卡为自动获取地址,这样终端才能正常从DHCP服务器获取到地址,正常上网。
配置完动态分配地址之后,刚开电脑获取地址的时间比较长,这是因为对于开启了生成树协议的交换机,每当有电脑接入之后导致生成树重新计算收敛,所以需要的时间比较长;通过关闭接口的生成树协议或者把连接终端的交换机接口配置为边缘端口即可解决。
下面以ACC1为例,说明配置步骤。
# 关闭接口的生成树协议
[ACC1] interface GE 1/0/1 [ACC1-GE1/0/1] stp disable //undo stp enable命令也可完成该功能 [ACC1-GE1/0/1] quit
# 配置连接终端设备的交换机接口为边缘端口
[ACC1] interface GE 1/0/1 [ACC1-GE1/0/1] stp edged-port enable [ACC1-GE1/0/1] quit
以上两种方法选择一种进行配置,终端电脑刚开机获取地址速度慢的问题就可以有效解决。
配置DHCP Snooping和IPSG
配置了DHCP功能之后,部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器(仿冒DHCP服务器)并开启DHCP自动分配地址的功能,导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网,还需要配置DHCP Snooping功能。
以下以部门A为例,说明DHCP Snooping的配置过程。
1.在接入交换机ACC1上开启DHCP Snooping功能。
<ACC1> system-view [ACC1] dhcp enable //使能DHCP功能 [ACC1] dhcp snooping enable //使能DHCP Snooping功能
2.在连接终端的接口上使能DHCP Snooping功能。
[ACC1] interface GE 1/0/1 //配置连接部门A的接口 [ACC1-GE1/0/1] dhcp snooping enable [ACC1-GE1/0/1] quit [ACC1] interface GE 1/0/2 //配置连接部门B的接口 [ACC1-GE1/0/2] dhcp snooping enable [ACC1-GE1/0/2] quit
3.在连接DHCP服务器的接口上使能DHCP Snooping功能,并将此接口配置为信任接口。
[ACC1] interface GE 1/0/3 //配置连接CORE1的接口 [ACC1-GE1/0/3] dhcp snooping enable //使能DHCP Snooping功能 [ACC1-GE1/0/3] dhcp snooping trusted //配置为信任接口 [ACC1-GE1/0/3] quit [ACC1] interface GE 1/0/4 //配置连接CORE2的接口 [ACC1-GE1/0/4] dhcp snooping enable [ACC1-GE1/0/4] dhcp snooping trusted [ACC1-GE1/0/4] quit
完成上述配置之后,部门A的用户就可以从合法的DHCP服务器获取IP地址,内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络,在接入交换机开启DHCP Snooping功能后,还需要开启IP报文检查功能,具体配置以ACC1为例。
4.在接入交换机ACC1上开启VLAN10的IP报文检查功能。
[ACC1] vlan 10 [ACC1-vlan10] ipv4 source check user-bind enable //使能IP报文检查功能 [ACC1-vlan10] quit
这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配,放行匹配的报文,丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查,可以只在连接某个终端的接口上开启IP报文检查功能。
