华为交换机DHCP详解

一、DHCP概述

DHCP全称为Dynamic Host Configuration Protocol，即动态主机配置协议。简单来说，DHCP是一个局域网自动分配IP地址的协议。

使用DHCP协议可以有效地管理IP地址，避免了手动配置的繁琐和错误，同时可以实现IP地址的动态分配和回收。

华为交换机支持DHCP协议，并且提供了丰富的配置选项和管理功能，可以方便快捷地实现局域网的IP地址管理。

二、DHCP基础配置

配置交换机作为DHCP服务器，需要先在交换机上配置IP地址池，即可用于分配的IP地址范围。IP地址池一般是局域网内的一个连续地址段。

[huawei] dhcp enable             //开启DHCP服务
[huawei] interface Vlanif10      //进入VLAN10接口视图
[huawei-Vlanif10] dhcp select global //指示该接口使用全局DHCP地址池
[huawei-Vlanif10] ip address 192.168.10.1 24 //配置VLAN10接口IP地址
[huawei-Vlanif10] quit
[huawei] ip pool  dhcp1          //创建名为dhcp1的IP地址池
[huawei-ip-pool-dhcp1] network 192.168.10.0 mask 255.255.255.0  //配置IP地址池子网地址和子网掩码
[huawei-ip-pool-dhcp1] gateway-list 192.168.10.1    //配置网关
[huawei-ip-pool-dhcp1] dns-list 114.114.114.114    //配置DNS服务器
[huawei-ip-pool-dhcp1] excluded-ip-address 192.168.10.1   //排除IP地址池中的特定IP地址
[huawei-ip-pool-dhcp1] quit
[huawei] interface Vlanif10
[huawei-Vlanif10] dhcp server dhcp1 //将IP地址池dhcp1绑定到VLAN10接口上
[huawei-Vlanif10] quit

完成上述基础配置后，交换机就可以开始向客户端分配IP地址了。当客户端请求IP地址时，交换机会从指定的IP地址池中选择一个可用地址分配给客户端，并保存客户端的信息。

三、DHCP高级配置

1、DHCP Snooping

DHCP Snooping是交换机一种保护DHCP服务器和客户端的机制。

开启DHCP Snooping后，交换机会记录每个端口所连接设备的MAC地址、IP地址和租用时间，并通过DHCP Snooping Binding Table表保存这些信息。当DHCP回应的源MAC地址与绑定表不匹配时，交换机会将该报文丢弃或加入到DHCP Snooping Binding Table表中。

[huawei] vlan 10 //先创建VLAN
[huawei-vlan10] quit
[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] port link-type access  //将端口设置为普通接入模式
[huawei-GigabitEthernet0/0/1] port default vlan 10  //将端口加入VLAN10
[huawei-GigabitEthernet0/0/1] dhcp snooping enable    //启用DHCP Snooping
[huawei-GigabitEthernet0/0/1] quit
[huawei] dhcp snooping //查看DHCP Snooping绑定表
[huawei-dhcp-snooping] display binding all

2、DHCP Relay

DHCP Relay是一种转发DHCP Discover报文的机制，可以将客户端的DHCP Discover报文转发到预先设置的DHCP服务器上进行处理。

[huawei] interface Vlanif10 //进入VLAN10接口视图
[huawei-Vlanif10] dhcp select relay //指示该接口使用DHCP Relay
[huawei-Vlanif10] dhcp relay server-select 192.168.1.2 //设置DHCP服务器的IP地址
[huawei-Vlanif10] quit
[huawei] interface GigabitEthernet 0/0/1 //进入接口视图
[huawei-GigabitEthernet0/0/1] dhcp relay information option //启用802.1Q报文类型的DHCP Relay信息选项
[huawei-GigabitEthernet0/0/1] dhcp relay server-group  dhcp-group 192.168.1.2 //添加DHCP服务器组
[huawei-GigabitEthernet0/0/1] dhcp relay information option vpn-inspect //启用DHCP Relay信息选项的VPN检查
[huawei-GigabitEthernet0/0/1] quit

3、DHCP Option

DHCP Option是指一些可选参数，如网关、DNS服务器、域名等，它们会随着DHCP的分配一起发送给客户端。

[huawei] ip pool pool1
[huawei-ip-pool-pool1] option 3 ip-address 192.168.10.1 //配置网关
[huawei-ip-pool-pool1] option 6 ip-address 114.114.114.114 //配置DNS服务器
[huawei-ip-pool-pool1] option 15 string huawei.com //配置域名
[huawei-ip-pool-pool1] quit

四、DHCP Debug

如果在DHCP配置中出现问题，可以使用调试命令对DHCP过程进行排查。

[huawei] debug dhcp
[huawei] terminal monitor
[huawei] terminal logging

完成以上配置后，可以实时显示DHCP分配的过程及错误信息。

五、DHCP安全性

虽然DHCP协议非常实用，但同时也有一定的安全风险。比如，黑客可以通过分配虚假IP地址来伪装成合法用户，从而进行攻击。为了解决这些问题，华为交换机实现了多项安全措施。

1、DHCP Snooping

前文已经介绍了DHCP Snooping的工作原理，可以有效防止黑客通过伪装IP地址进行攻击。

2、IP/MAC绑定

IP/MAC绑定是一种基于MAC地址和IP地址的静态绑定方式。当客户端连接到交换机后，交换机会根据客户端的MAC地址将其绑定的IP地址予以保留，只允许该MAC地址使用绑定的IP地址进行通信。这种方式可以有效避免未授权用户使用DHCP服务器分配的IP地址。

[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] mac-address sticky //开启MAC地址粘贴功能
[huawei-GigabitEthernet0/0/1] mac-address max-mac-count 5 //设置最大MAC地址数量
[huawei-GigabitEthernet0/0/1] port-security enable //启用端口安全
[huawei-GigabitEthernet0/0/1] port-security mac-address max-mac-count 5 //设置最大MAC地址数量
[huawei-GigabitEthernet0/0/1] quit

3、DHCP Option 82

DHCP Option 82可以添加客户端所在的接口信息，避免在DHCP分配过程中出现欺骗行为。当开启该功能时，客户端的报文被转发到DHCP服务器上时，交换机会将所在的接口等相关信息加入到报文中。

[huawei] interface GigabitEthernet 0/0/1
[hauwei-GigabitEthernet0/0/1] dhcp snooping option82 enable //开启DHCP Option 82
[huawei-GigabitEthernet0/0/1] quit

六、小结

本文介绍了华为交换机DHCP协议的基本原理和常用配置以及相关安全措施。通过合理使用DHCP协议，可以大大提高局域网的管理效率和安全性。