華為交換機DHCP詳解

一、DHCP概述

DHCP全稱為Dynamic Host Configuration Protocol，即動態主機配置協議。簡單來說，DHCP是一個局域網自動分配IP地址的協議。

使用DHCP協議可以有效地管理IP地址，避免了手動配置的繁瑣和錯誤，同時可以實現IP地址的動態分配和回收。

華為交換機支持DHCP協議，並且提供了豐富的配置選項和管理功能，可以方便快捷地實現局域網的IP地址管理。

二、DHCP基礎配置

配置交換機作為DHCP服務器，需要先在交換機上配置IP地址池，即可用於分配的IP地址範圍。IP地址池一般是局域網內的一個連續地址段。

[huawei] dhcp enable             //開啟DHCP服務
[huawei] interface Vlanif10      //進入VLAN10接口視圖
[huawei-Vlanif10] dhcp select global //指示該接口使用全局DHCP地址池
[huawei-Vlanif10] ip address 192.168.10.1 24 //配置VLAN10接口IP地址
[huawei-Vlanif10] quit
[huawei] ip pool  dhcp1          //創建名為dhcp1的IP地址池
[huawei-ip-pool-dhcp1] network 192.168.10.0 mask 255.255.255.0  //配置IP地址池子網地址和子網掩碼
[huawei-ip-pool-dhcp1] gateway-list 192.168.10.1    //配置網關
[huawei-ip-pool-dhcp1] dns-list 114.114.114.114    //配置DNS服務器
[huawei-ip-pool-dhcp1] excluded-ip-address 192.168.10.1   //排除IP地址池中的特定IP地址
[huawei-ip-pool-dhcp1] quit
[huawei] interface Vlanif10
[huawei-Vlanif10] dhcp server dhcp1 //將IP地址池dhcp1綁定到VLAN10接口上
[huawei-Vlanif10] quit

完成上述基礎配置後，交換機就可以開始向客戶端分配IP地址了。當客戶端請求IP地址時，交換機會從指定的IP地址池中選擇一個可用地址分配給客戶端，並保存客戶端的信息。

三、DHCP高級配置

1、DHCP Snooping

DHCP Snooping是交換機一種保護DHCP服務器和客戶端的機制。

開啟DHCP Snooping後，交換機會記錄每個端口所連接設備的MAC地址、IP地址和租用時間，並通過DHCP Snooping Binding Table表保存這些信息。當DHCP回應的源MAC地址與綁定表不匹配時，交換機會將該報文丟棄或加入到DHCP Snooping Binding Table表中。

[huawei] vlan 10 //先創建VLAN
[huawei-vlan10] quit
[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] port link-type access  //將端口設置為普通接入模式
[huawei-GigabitEthernet0/0/1] port default vlan 10  //將端口加入VLAN10
[huawei-GigabitEthernet0/0/1] dhcp snooping enable    //啟用DHCP Snooping
[huawei-GigabitEthernet0/0/1] quit
[huawei] dhcp snooping //查看DHCP Snooping綁定表
[huawei-dhcp-snooping] display binding all

2、DHCP Relay

DHCP Relay是一種轉發DHCP Discover報文的機制，可以將客戶端的DHCP Discover報文轉發到預先設置的DHCP服務器上進行處理。

[huawei] interface Vlanif10 //進入VLAN10接口視圖
[huawei-Vlanif10] dhcp select relay //指示該接口使用DHCP Relay
[huawei-Vlanif10] dhcp relay server-select 192.168.1.2 //設置DHCP服務器的IP地址
[huawei-Vlanif10] quit
[huawei] interface GigabitEthernet 0/0/1 //進入接口視圖
[huawei-GigabitEthernet0/0/1] dhcp relay information option //啟用802.1Q報文類型的DHCP Relay信息選項
[huawei-GigabitEthernet0/0/1] dhcp relay server-group  dhcp-group 192.168.1.2 //添加DHCP服務器組
[huawei-GigabitEthernet0/0/1] dhcp relay information option vpn-inspect //啟用DHCP Relay信息選項的VPN檢查
[huawei-GigabitEthernet0/0/1] quit

3、DHCP Option

DHCP Option是指一些可選參數，如網關、DNS服務器、域名等，它們會隨着DHCP的分配一起發送給客戶端。

[huawei] ip pool pool1
[huawei-ip-pool-pool1] option 3 ip-address 192.168.10.1 //配置網關
[huawei-ip-pool-pool1] option 6 ip-address 114.114.114.114 //配置DNS服務器
[huawei-ip-pool-pool1] option 15 string huawei.com //配置域名
[huawei-ip-pool-pool1] quit

四、DHCP Debug

如果在DHCP配置中出現問題，可以使用調試命令對DHCP過程進行排查。

[huawei] debug dhcp
[huawei] terminal monitor
[huawei] terminal logging

完成以上配置後，可以實時顯示DHCP分配的過程及錯誤信息。

五、DHCP安全性

雖然DHCP協議非常實用，但同時也有一定的安全風險。比如，黑客可以通過分配虛假IP地址來偽裝成合法用戶，從而進行攻擊。為了解決這些問題，華為交換機實現了多項安全措施。

1、DHCP Snooping

前文已經介紹了DHCP Snooping的工作原理，可以有效防止黑客通過偽裝IP地址進行攻擊。

2、IP/MAC綁定

IP/MAC綁定是一種基於MAC地址和IP地址的靜態綁定方式。當客戶端連接到交換機後，交換機會根據客戶端的MAC地址將其綁定的IP地址予以保留，只允許該MAC地址使用綁定的IP地址進行通信。這種方式可以有效避免未授權用戶使用DHCP服務器分配的IP地址。

[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] mac-address sticky //開啟MAC地址粘貼功能
[huawei-GigabitEthernet0/0/1] mac-address max-mac-count 5 //設置最大MAC地址數量
[huawei-GigabitEthernet0/0/1] port-security enable //啟用端口安全
[huawei-GigabitEthernet0/0/1] port-security mac-address max-mac-count 5 //設置最大MAC地址數量
[huawei-GigabitEthernet0/0/1] quit

3、DHCP Option 82

DHCP Option 82可以添加客戶端所在的接口信息，避免在DHCP分配過程中出現欺騙行為。當開啟該功能時，客戶端的報文被轉發到DHCP服務器上時，交換機會將所在的接口等相關信息加入到報文中。

[huawei] interface GigabitEthernet 0/0/1
[hauwei-GigabitEthernet0/0/1] dhcp snooping option82 enable //開啟DHCP Option 82
[huawei-GigabitEthernet0/0/1] quit

六、小結

本文介紹了華為交換機DHCP協議的基本原理和常用配置以及相關安全措施。通過合理使用DHCP協議，可以大大提高局域網的管理效率和安全性。