本文探討咗喺Huawei switches環境中設定 DHCP 服務嘅幾個關鍵問題,並提供咗相應嘅設定建議同最佳實務。呢啲問題涵蓋咗 DHCP 用戶端獲取 IP 地址、DHCP 中繼設定、基於 VLANIF 介面嘅 DHCP 服務設定以及 DHCP Snooping 嘅部署策略。
點解DHCP 用戶端攞唔到 IP 地址
問題描述:核心交換機設定咗基於埠嘅 DHCP 服務,並透過 Trunk 鏈路連接下聯交換機。然而,下聯交換機埠攞唔到核心交換機嘅 IP 地址。
解決方案: 由於核心交換機同下聯交換機之間係 Trunk 鏈路,需要確保 VLAN 資訊可以喺 Trunk 鏈路上正常傳輸,而且下聯交換機嘅接入埠已經正確設定喺相應嘅 VLAN 中。
1. 核心交換機 Trunk 設定檢查: 確保核心交換機上同下聯交換機連接嘅 Trunk 埠允許所有相關嘅 VLAN(例如,VLAN 190、192、196)通過。
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk allow-pass vlan 190 192 196
2. 下聯交換機 Trunk 設定檢查: 同樣地,下聯交換機上同核心交換機連接嘅 Trunk 埠都應該允許相應嘅 VLAN 通過。
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk allow-pass vlan 190 192 196
3. 下聯交換機接入埠設定: 確保連接終端設備嘅接入埠設定喺正確嘅 VLAN 中。
interface GigabitEthernet 1/0/2
port link-type access
port default vlan 190
4. DHCP Snooping 設定檢查(如果已設定): 如果啟用咗 DHCP Snooping,需要確保 DHCP 數據包可以喺 Trunk 埠上正常傳輸。將核心交換機同下聯交換機上嘅 Trunk 埠設為信任埠。
dhcp-snooping
interface GigabitEthernet 1/0/1
dhcp-snooping trust
5. VLAN 一致性檢查: 確保下聯交換機上設定嘅 VLAN 同核心交換機一致。
6. DHCP 服務狀態驗證: 喺核心交換機上執行以下指令查看 DHCP 設定情況同有冇請求到達:
display dhcp server ip-in-use
display dhcp server statistics
Huawei switches DHCP 中繼嘅設定位置
問題描述: 基於核心交換機嘅 DHCP 服務,DHCP 中繼應該設定喺核心交換機定下聯接入交換機?
解決方案: 通常情況下,只需要喺核心交換機上設定 DHCP 中繼,下聯接入交換機唔需要設定。核心交換機嘅 DHCP 中繼設定確保咗 DHCP 請求喺唔同 VLAN 間嘅轉發。
interface Vlanif192
ip address 172.19.2.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 172.19.0.254 # DHCP 伺服器喺 VLAN 190 上嘅 IP 地址relay server-ip 172.19.0.254 DHCP 伺服器喺 VLAN 190 上嘅 IP 地址
驗證 DHCP 中繼設定:
display dhcp relay statistics
每個 VLAN 都設定基於 VLANIF 嘅 DHCP 服務時嘅 DHCP 中繼設定
問題描述: 如果每個 VLAN 都喺核心交換機上透過 VLANIF 介面設定咗 DHCP 服務,要點設定 DHCP 中繼?
解決方案: 如果每個 VLAN 都已經喺核心交換機上透過 VLANIF 介面設定咗 DHCP 服務,就唔需要設定 DHCP 中繼。每個 VLANIF 介面充當該 VLAN 嘅閘道器並直接向連接嘅用戶端分發 IP 地址。
DHCP Snooping 嘅設定位置
問題描述: DHCP Snooping 應該設定喺邊啲介面上?
解決方案: DHCP Snooping 需要喺核心交換機同接入交換機嘅所有 Trunk 埠上設定為信任埠,確保 DHCP 請求同響應可以正常通過。接入交換機嘅用戶接入埠唔設定為信任埠,以防止惡意 DHCP 伺服器偽造 DHCP 響應。
dhcp-snooping
interface GigabitEthernet 1/0/1
dhcp-snooping trust
接入交換機嘅 Access 埠需要唔需要設定 DHCP Snooping
問題描述: 接入交換機嘅 Access 埠需要唔需要設定 DHCP Snooping?
解決方案: 接入交換機嘅 Access 埠應該啟用 DHCP Snooping,但係唔應該將佢設定為信任埠。噉樣可以防止接入設備偽裝成 DHCP 伺服器並發出偽造嘅 DHCP 響應,確保網絡嘅 DHCP 安全性。只需全局開啟 DHCP Snooping 即可,唔需要喺每個 Access 埠上單獨設定。
本文詳細闡述咗華為交換機環境下 DHCP 設定嘅幾個關鍵問題,並提供咗相應嘅解決方案同最佳實務。透過遵循呢啲建議,可以有效噉管理同維護網絡嘅 DHCP 服務,並提高網絡嘅安全性。想了解多D我地系邊個,睇呢度啦。想搵個專業公司問問點樣處理IT問題?打來21273520畀我地EGC噶靚仔叔叔招呼尊貴嘎客戶你啦。
