12-DHCP配置 MyPower S4330 V1.0 系列交换机配置手册-USB迷|专注于互联网分享

2024年9月4日发(作者：欧晓莉)

DHCP配置

本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人

不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处

* * *

迈普通信技术有限公司

地址：成都市高新区九兴大道16号迈普大厦

技术支持热线：400-886-8669

传真：（+8628）85148948

E-mail：support@

网址：

邮编：610041

版本：2011年 8月v1.0版

第1章

DHCP配置 ................................................................................................................... 5

1.1 DHCP简介 ............................................................................................................................ 5

1.2 DHCP 的IP地址分配 ............................................................................................................ 5

1.2.1 IP地址分配策略 .......................................................................................................... 5

1.2.2 IP地址动态获取过程 .................................................................................................. 1

1.2.3 DHCP 报文结构 .......................................................................................................... 3

1.3 DHCP服务器配置 ................................................................................................................. 4

1.3.1 DHCP服务器的应用环境............................................................................................ 4

1.3.2 DHCP地址池 .............................................................................................................. 4

1.3.3 配置地址池 ................................................................................................................. 5

1.3.4 配置DHCP服务器分配DNS服务器地址 ................................................................... 6

1.3.5 配置DHCP服务器分配WINS服务器地址 ................................................................. 7

1.3.6 配置DHCP自定义选项 .............................................................................................. 7

1.3.7 配置DHCP服务器支持option 60功能 ...................................................................... 8

1.3.8 使能DHCP server功能 .............................................................................................. 8

1.3.9 DHCP服务器的显示和维护 ........................................................................................ 8

1.4 DHCP中继配置 ..................................................................................................................... 9

1.4.1 DHCP中继的应用环境 ............................................................................................... 9

1.4.2 DHCP中继的基本原理 ............................................................................................... 9

1.4.3 DHCP中继对DHCP报文的处理模式 ...................................................................... 10

1.4.4 配置DHCP服务器组 ................................................................................................ 11

1.4.5 配置DHCP中继支持option 60功能 ........................................................................ 11

1.4.6 使能DHCP中继功能 ................................................................................................ 12

1.4.7 DHCP中继的显示和维护.......................................................................................... 12

1.5 DHCP客户端配置 ............................................................................................................... 13

1.5.1 DHCP客户端简介 .................................................................................................... 13

1.5.2 配置设备使用DHCP方式获取IP地址 ..................................................................... 13

1.6 BOOTP客户端配置 ............................................................................................................. 13

1.6.1 BOOTP客户端简介 .................................................................................................. 13

1.6.2 配置设备使用BOOTP方式获取IP地址 ................................................................... 14

第2章

DHCP Snooping配置 ............................................................................................... 15

2.1 DHCP Snooping简介 .......................................................................................................... 15

2.2 配置DHCP Snooping ......................................................................................................... 15

2.3 配置端口link down时的动作 .............................................................................................. 16

2.4 DHCP Snooping的安全特性 ............................................................................................... 16

2.4.1 限制端口连接DHCP Client的数量 ........................................................................... 16

2.4.2 配置IP-Source-Guard .............................................................................................. 17

2.4.3 配置DHCP Snooping表项备份功能 ........................................................................ 18

2.5 DHCP Snooping的配置显示及维护 .................................................................................... 19

2.6 DHCP Snooping的配置实例 ............................................................................................... 20

第3章

DHCP Option 82 ....................................................................................................... 22

3.1 DHCP Option 82简介 ......................................................................................................... 22

3.2 配置DHCP Option82 .......................................................................................................... 22

3.2.1 使能DHCP Option82 ............................................................................................... 22

3.2.2 DHCP Option82显示和维护 ..................................................................................... 23

第1章 DHCP配置

1.1 DHCP简介

随着网络规模的扩大和网络复杂度的提高，网络配置越来越复杂，经常出现计算机位

置变化（如便携机或无线网络）和计算机数量超过可分配的IP地址的情况。动态主机配置

协议DHCP（Dynamic Host Configuration Protocol）就是为满足这些需求而发展起来的。

DHCP协议采用客户端/服务器（Client/Server）方式工作，DHCP Client向DHCP Server

动态地请求配置信息，DHCP Server根据策略返回相应的配置信息。

在DHCP的典型应用中，一般包含一台DHCP服务器和多台客户端（如PC和便携机）,

如图1-1所示。

图 1-1. DHCP典型应用

1.2 DHCP 的IP地址分配

1.2.1 IP地址分配策略

针对客户端的不同需求，DHCP 提供三种IP 地址分配策略：

 手工分配地址：由管理员为少数特定客户端（如WWW服务器等）静态绑定固定

的IP 地址。通过DHCP将配置的固定IP 地址发给客户端。



自动分配地址：DHCP 为客户端分配租期为无限长的IP地址。

动态分配地址：DHCP 为客户端分配有有效期限的IP地址，当使用期限到期后，

客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。

1.2.2 IP地址动态获取过程

DHCP Client 与DHCP Server间的报文交互过程如图1-2所示。

图 1-2. DHCP Client 与DHCP Server 间的报文交互过程

DHCP客户端为了获取合法的动态IP 地址，在不同阶段与服务器之间交互不同的信息，

通常存在以下三种模式：

(1) DHCP客户端首次登录网络

DHCP客户端首次登录网络时，主要通过四个阶段与DHCP 服务器建立联系。

 发现阶段，即DHCP 客户端寻找DHCP服务器的阶段。客户端以广播方式发送

DHCP-Discover 报文，只有DHCP服务器才会进行响应。

 提供阶段，即DHCP 服务器提供IP 地址的阶段。DHCP服务器接收到客户端的

DHCP-Discover 报文后，从IP地址池中挑选一个尚未分配的IP地址分配给客户端，向该

客户端发送包含出租IP 地址和其它设置的DHCP-Offer 报文。

 选择阶段，即DHCP客户端选择IP 地址的阶段。如果有多台DHCP服务器向该

客户端发来DHCP-Offer报文，客户端只接受第一个收到的DHCP-Offer报文，然后以广播

方式向各DHCP服务器回应DHCP-Request报文，该信息中包含向所选定的DHCP服务器

请求IP地址的内容。

 确认阶段，即DHCP服务器确认所提供IP地址的阶段。当DHCP服务器收到DHCP

客户端回答的DHCP-Request报文后，便向客户端发送包含它所提供的IP地址和其它设置

的DHCP-ACK确认报文；否则将返回DHCP-NAK报文，表明地址不能分配给该客户端。

客户端收到服务器返回的DHCP-ACK确认报文后，会以广播的方式发送ARP（目的地址

是被分配到的地址）进行地址探测，如果在规定的时间内没有收到回应，客户端才使用此

地址。

除DHCP客户端选中的服务器外，其它DHCP服务器本次未分配出的IP地址仍可用

于其他客户端的IP 地址申请。

(2) DHCP 客户端再次登录网络

当DHCP客户端再次登录网络时，主要通过以下几个步骤与DHCP服务器建立联系。

 DHCP客户端首次正确登录网络后，以后再登录网络时，只需要广播包含上次分

配IP 地址的DHCP-Request报文即可，不需要再次发送DHCP-Discover报文。

 DHCP服务器收到DHCP-Request报文后，如果客户端申请的地址没有被分配，

则返回DHCP-ACK确认报文，通知该DHCP客户端继续使用原来的IP地址。

 如果此IP地址无法再分配给该DHCP客户端使用（例如已分配给其它客户端），

DHCP服务器将返回DHCP-NAK报文。客户端收到后，重新发送DHCP-Discover 报文请

求新的IP地址。

(3) DHCP客户端延长IP地址的租用有效期

DHCP服务器分配给客户端的动态IP地址通常有一定的租借期限，期满后服务器会收

回该IP地址。如果DHCP客户端希望继续使用该地址，需要更新IP租约。

在实际使用中，DHCP客户端缺省在IP地址租约期限达到一半时，向DHCP服务器发

送DHCP-Request报文，以完成IP租约的更新。如果此IP地址有效，则DHCP服务器回

应DHCP-ACK 报文，通知DHCP 客户端已经获得新的租约。

1.2.3 DHCP 报文结构

DHCP有8种类型的报文，每种报文的格式相同，只是报文中的某些字段取值不同。

DHCP报文格式基于BOOTP的报文格式，具体格式如图1-3所示（括号中的数字表示

该字段所占的字节）：

图 1-3. DHCP 报文结构

各字段的解释如下：



报文。



htype、hlen：DHCP客户端的硬件地址类型及长度。

hops：DHCP报文经过的DHCP中继的数目。DHCP请求报文每经过一个DHCP

op：DHCP报文的操作类型，分为请求报文和响应报文，1为请求报文；2为相应

中继，该字段就会增加1。



xid：客户端发起一次请求时选择的随机数，用来表示一次地址请求过程。

secs：DHCP客户端开始DHCP请求后的时间。

flags：第一个比特为广播响应标识位，用来标识DHCP服务器响应报文是采用单

播还是广播发送。其余比特保留不用。



ciaddr：DHCP客户端的IP地址。

yiaddr：DHCP服务器分配给客户端的IP地址。

siaddr：DHCP客户端获取IP地址等信息的服务器IP地址。

giaddr：DHCP客户端发出请求报文后经过的第一个DHCP中继的IP地址。

chaddr：DHCP客户端的硬件地址。

sname：DHCP客户端获取IP地址等信息的服务器名称。

file：DHCP服务器为DHCP客户端指定的启动配置文件名称。

Option：可选变长选项字段，包含报文的类型、有效租期、DNS（Domain Name

System，域名系统）服务器的IP地址、WINS服务器的IP地址等配置信息。

1.3 DHCP服务器配置

1.3.1 DHCP服务器的应用环境

在以下场合通常利用DHCP服务器来完成IP地址分配：



网络规模较大，手工配置需要很大的工作量，并难以对整个网络进行集中管理。

网络中主机数目大于该网络支持的IP地址数量，无法给每个主机分配一个固定的

IP地址，且对同时接入网络的用户数目也有限制（比如，Internet接入服务提供商即属于这

种情况），大量用户必须通过DHCP 服务动态获得自己的IP地址。

 网络中只有少数主机需要固定的IP 地址，大多数主机没有固定IP地址的需求。

1.3.2 DHCP地址池

DHCP服务器从地址池中为客户端选择并分配IP地址及其他相关参数。当作为DHCP

服务器的设备收到客户端发来的DHCP请求时，将根据配置选择合适的地址池，并从中挑

选一个空闲的IP地址，与其他相关参数（如DNS服务器地址、地址租用期限等）一起发

送给客户端。

DHCP服务器从地址池中为客户端分配IP地址时的优先次序如下：



客户端使用过的地址。

DHCP服务器中客户端MAC地址静态绑定的IP地址。

客户要求的地址。

地址池内可用的地址。

1.3.3 配置地址池

根据网络的实际需求，可以选择采用静态地址绑定方式或动态地址分配方式。动态地

址分配需要指定用于分配的地址范围，而静态地址绑定则需要配置一些MAC和IP对应的

绑定表。

1、配置采用静态绑定的方式进行地址分配

某些客户端（FTP服务器、Web服务器等）需要固定的IP地址，可以通过客户端的

MAC地址与IP地址绑定的方式实现。当具有此MAC地址的客户端申请IP地址时，DHCP

服务器将根据客户端的MAC地址查找对应的IP地址，并分配给客户端。

操作

进入全局配置模式

使能静态绑定的方式进行地址分配

表 1-1 静态绑定的方式进行地址分配

命令

configure terminal

dhcp-client bind

可选

该功能开启时对于未

使能为未绑定用户分配地址功能

绑定用户可以从ip地

dhcp-client unknown-client assign

址池中获取动态ip地

址，否则未绑定用户不

能获取任何ip地址。

配置静态绑定表

dhcp-client HH:HH:HH:HH:HH:HH

A.B.C.D vid user_name

可选

说明

注意：

静态绑定表里配置的“vid”和‘user_name’参数，只作为识别和记录客户端用，

并不会分配给客户端。

2、配置动态地址分配

对于动态分配给客户端的地址（包括永久的和租用期有限的动态地址），都需要配置地

址池范围。同一地址池中可以配置8个地址段，每个地址段最多容纳1024个IP地址。同

一地址池只允许有一个网关（此网关用来确定分配的IP地址范围，而不是指分配给DHCP

client使用的网关地址），该地址池内的地址必须和网关在同一网段。

DHCP服务器在分配地址时，需要排除已经被占用的IP地址（如网关、FTP服务器等），

否则，同一地址分配给两个客户端会造成IP 地址冲突。

对于不同的DHCP地址池，DHCP服务器可以指定不同的地址租用期限，但同一地址

池中的地址具有相同的租用期限。

操作

进入全局配置模式

创建地址池并进入地址池配置模式

配置与这个地址池内地址对应的网

关

配置地址池内可分配的地址段

配置地址池内可分配地址的租期

配置DHCP地址池中不参与自动分

配的IP地址

配置为DHCP客户端分配的路由器

（或网关）地址

router A.B.C.D

ip { enable | disable } A.B.C.D

gateway ip(A.B.C.D) mask(A.B.C.D)

section <0-7> start-ip end-ip

lease ddd:hh:mm,

表 1-2 动态地址分配

命令

configure terminal

ip pool ip-pool-name

说明

必选

可选

注意：

命令行

gateway ip mask中的网关

是指分配IP地址所用的网关，与DHCP请求报文中

的gateway字段的值相同，用来确定分配的IP地址范围，不是指分配给DHCP client

使用的网关地址，给DHCP client分配网关地址必须使用

router A.B.C.D命令来配置

。

1.3.4 配置DHCP服务器分配DNS服务器地址

主机通过域名访问Internet时，需要将域名解析为IP地址，这是通过DNS（Domain

Name System，域名系统）实现的。为了使DHCP客户端通过域名成功访问Internet，DHCP

服务器应在为客户端分配IP地址的同时指定DNS服务器地址。目前，每个地址池最多可

以配置4个DNS服务器地址。

在DHCP服务器上，可以为每个地址池指定客户端使用的域名，在给客户端分配IP地

址的同时，也将域名发送给客户端。

操作

进入全局配置模式

进入地址池配置模式

配置为DHCP客户端分配的

域名

配置为DHCP客户端分配的

DNS服务器地址

dns suffix name

dns { primary-ip | second-ip | third-ip | fourth-ip }

A.B.C.D

表 1-3 配置DHCP服务器支持DNS服务

命令

configure terminal

ip pool ip-pool-name

说明

可选

1.3.5 配置DHCP服务器分配WINS服务器地址

对于使用Windows Microsoft 操作系统的客户端，由WINS（Windows Internet Naming

Service，Windows Internet 名称服务）服务器为通过NetBIOS协议通信的主机提供主机名

到IP地址的解析。所以，大部分Windows网络客户端需要进行WINS的设置。目前，每

个DHCP 地址池最多可以配置2个WINS服务器地址。

操作

进入全局配置模式

进入地址池配置模式

配置为DHCP客户端分配的

WINS服务器地址

wins { primary-ip | second-ip } A.B.C.D

表 1-4 配置DHCP服务器分配WINS服务器地址

命令

configure terminal

ip pool ip-pool-name

说明

可选

1.3.6 配置DHCP自定义选项

有些选项的内容，RFC 2132 中没有统一规定。厂商可以根据需要定义选项的内容，如

Option 43。通过配置DHCP 自定义选项，可以为DHCP 客户端提供厂商指定的信息。在

给客户端分配IP地址的同时，也将自定义选项的内容发送给客户端。

操作

进入全局配置模式

进入地址池配置模式

配置DHCP自定义选项

option 43

option 43 { ascii string | hex hexvalue }

表 1-5 配置DHCP自定义选项option 43

命令

configure terminal

ip pool ip-pool-name

说明

可选

1.3.7 配置DHCP服务器支持option 60功能

DHCP服务器支持对带有option 60选项字段的DHCP报文的处理功能。在VLAN接

口或super VLAN接口上配置了option 60选项后，当该接口接收到客户端发来的DHCP报

文时，如果报文中带有option 60选项字段则会与本接口配置的值进行匹配处理。



端。

 若没有找到匹配项或者匹配项中没有配置响应信息则回应给客户端的报文不带

若找到匹配项则会使用匹配项中的响应信息作为option 60选项的内容回应给客户

option 60选项字段。

操作

进入全局配置模式

进入VLAN接口配置模式

或者

进入super VLAN接口配置模式

表 1-6 配置DHCP服务器支持option 60功能

命令

configure terminal

interface vlan-interface vid

或者

interface supervlan-interface super-vid

dhcp option60 { equals | starts-with } { ascii

string | hexadecimal hexdata } gateway

A.B.C.D [ dhcp-server group-id ]

[ server-reply { ascii string | hexadecimal

hexdata } ]

说明

配置接口的option 60选项可选

1.3.8 使能DHCP server功能

设备在开启DHCP中继功能时，支持内置DHCP server功能，要使设备能够成功分配

IP地址，配置时必须满足如下要求：

（1）开启DHCP中继功能；

（2）将本设备的IP地址配置为DHCP server IP；

（3）正确配置DHCP地址池；

开启DHCP中继功能和配置DHCP server IP的方法请参考“DHCP中继配置”章节。

1.3.9 DHCP服务器的显示和维护

在完成上面的操作后，可以使用下面的命令来查看配置和DHCP服务器当前的状态。

操作

查看配置的地址池，地址段，网

关，已分配出去的IP，租约，

DNS服务器以及WINS服务器

信息

查看静态绑定分配方式的使能

状态

查看静态绑定表

show dhcp-client bind

在任何模式

下操作

show ip pool [ name ]

show ip pool name section-id

show ip pool-brief

表 1-7 DHCP服务器的显示和维护

命令说明

show dhcp-client [ ip A.B.C.D |MAC

HH:HH:HH:HH:HH:HH ]

show dhcp-server clients [ ip [ mask ] ]

查看客户端获取的地址信息

show dhcp-server clients [ HH:HH:HH:HH:HH:HH |

poolname ]

查看接口配置的option 60选项

show dhcp option60 [ interface { vlan-interface vid |

supervlan-interface super-vid } ]

1.4 DHCP中继配置

1.4.1 DHCP中继的应用环境

由于在IP地址动态获取过程中采用广播方式发送报文，因此DHCP只适用于DHCP

客户端和服务器处于同一个子网内的情况。为进行动态主机配置，需要在所有网段上都设

置一个DHCP服务器，这显然是很不经济的。

DHCP中继功能的引入解决了这一难题：子网内的客户端可以通过DHCP 中继与其他

子网的DHCP 服务器通信，最终获取到IP 地址。这样，多个网络上的DHCP客户端可以

使用同一个DHCP 服务器，既节省了成本，又便于进行集中管理。

1.4.2 DHCP中继的基本原理

图1-4是DHCP中继的典型组网应用：

图 1-4. DHCP中继的典型组网应用

DHCP中继提供对DHCP广播报文的透明传输功能，能够把DHCP客户端（或服务器）

的广播报文透明地传送到其它网段的DHCP服务器（或客户端）上。

通过DHCP中继完成动态配置的过程中，DHCP客户端与DHCP服务器的处理方式与

不通过DHCP中继时的处理方式基本相同。下面只说明DHCP中继的转发过程，报文的具

体交互过程请参见“1.2.2 IP地址动态获取过程”。

DHCP中继的工作过程为：

(1) 具有DHCP 中继功能的网络设备收到DHCP 客户端以广播方式发送的

DHCP-DISCOVER 或DHCP-REQUEST 报文后，将报文中的giaddr 字段填充为DHCP 中

继的IP 地址，并根据配置将报文单播转发给指定的DHCP 服务器。

(2) DHCP 服务器根据giaddr 字段为客户端分配IP 地址等参数，并通过DHCP 中继将

配置信息转发给客户端，完成对客户端的动态配置。

1.4.3 DHCP中继对DHCP报文的处理模式

当设备使能了DHCP 中继功能后，设备收到DHCP客户端发出来的DHCP报文时，根

据配置将会采用下面的一种模式对报文进行处理：

 服务器模式：当配置的DHCP server IP是本设备的IP地址时表示启用内置DHCP

服务器功能，当收到DHCP客户端发来的DHCP报文时，将根据报文里的“giaddr”字段，

从本地DHCP服务器的地址池中分配相同地址段的地址。

 中继模式：当配置的DHCP server IP不是本设备的IP地址时表示使用外部的

DHCP服务器，当收到DHCP客户端发来的DHCP报文时，将报文转发给外部DHCP服务

器，由外部DHCP服务器分配地址。

1.4.4 配置DHCP服务器组

为了提高可靠性，可以在一个网络中设置多个DHCP服务器。每个DHCP服务器对应

一个DHCP服务器组。当VLAN接口或super VLAN接口引用DHCP服务器组后，会将客

户端发来的DHCP报文转发给服务器组中的所有服务器。

操作

进入全局配置模式

配置DHCP服务器组

进入VLAN接口配置模式

或者

进入super VLAN接口配置模式

配置接口引用的DHCP服务器组

表 1-8 配置DHCP服务器的IP

命令

configure terminal

dhcp-server

group-id

server-ip

interface vlan-interface

vid

或者

interface supervlan-interface

super-vid

dhcp-server

group-id

说明

必选

1.4.5 配置DHCP中继支持option 60功能

DHCP中继支持对带有option 60选项字段的DHCP报文的处理功能。在VLAN接口

或super VLAN接口上配置了option 60选项后，当该接口接收到客户端发来的DHCP报文

时，如果报文中带有option 60选项字段则会与本接口配置的值进行匹配处理。

 若找到匹配项则会使用匹配项中的网关地址对报文进行中继处理，并向匹配项中

的服务器地址转发DHCP报文。

 若没有找到匹配项则根据请求的IP地址或者客户端的IP地址进行中继处理。

操作

进入全局配置模式

进入VLAN接口配置模式

或者

进入super VLAN接口配置模式

配置接口的option 60选项

表 1-9 配置DHCP中继支持option 60功能

命令

configure terminal

interface vlan-interface vid

或者

interface supervlan-interface super-vid

dhcp option60 { equals | starts-with } { ascii

string | hexadecimal hexdata } gateway

可选

说明

A.B.C.D

hexdata } ]

[ dhcp-server group-id ]

[ server-reply { ascii string | hexadecimal

1.4.6 使能DHCP中继功能

在DHCP服务器和DHCP客户端不在同一个子网，或者设备被配置为DHCP服务器的

情况下，都需要使能DHCP中继功能。

有时候，为了网络安全考虑，网络管理员不希望DHCP客户端知道DHCP服务器的地

址。为了满足这样的需求，开启DHCP中继的设备可以被配置为隐藏真实的DHCP服务器

的地址。这样，DHCP客户端就认为开启DHCP中继的设备是DHCP 服务器，以达到隐藏

真实DHCP服务器的目的。当然，如果开启DHCP中继的设备正好也是DHCP服务器，那

这个功能就不再适用。

操作

进入全局配置模式

使能全局DHCP中继功能

隐藏真实的DHCP Server的IP

配置DHCP报文的最大跳数

进入端口配置模式

使能端口DHCP中继功能

表 1-10 使能DHCP中继功能

命令

configure terminal

dhcp-relay

dhcp-relay hide server-ip

dhcp max-hops

hops

interface ethernet

device/slot/port

dhcp-relay

说明

必选

可选

1.4.7 DHCP中继的显示和维护

在完成上面的操作后，可以使用下面的命令来查看配置和DHCP中继当前的状态。

操作

查看DHCP服务器组

查看接口引用的DHCP服务器

组

查看DHCP中继的使能状态

查看隐藏服务器功能的使能状

态

show dhcp-relay hide server-ip

表 1-11 DHCP服务器的显示和维护

命令

show dhcp-server [

group-id

]

show dhcp-server interface [ vlan-interface

vid

supervlan-interface

super-vid

]

show dhcp-relay

在任何模式

下操作

说明

查看接口配置的option 60选项

show dhcp option60 [ interface { vlan-interface

vid

| supervlan-interface

super-vid

} ]

1.5 DHCP客户端配置

1.5.1 DHCP客户端简介

指定设备作为DHCP客户端后，可以使用DHCP协议从DHCP 服务器动态获得IP 地

址等参数，方便用户配置，也便于集中管理。

1.5.2 配置设备使用DHCP方式获取IP地址

本设备暂不支持DHCP客户端功能。

1.6 BOOTP客户端配置

1.6.1 BOOTP客户端简介

BOOTP 是Bootstrap Protocol（自举协议）的简称。指定设备作为BOOTP 客户端后，

该设备可以使用BOOTP协议从BOOTP服务器获得IP地址等信息，从而方便用户配置。

使用BOOTP协议，管理员需要在BOOTP服务器上为每个BOOTP客户端配置BOOTP

参数文件，该文件包括BOOTP客户端的MAC 地址及其对应的IP 地址等信息。当BOOTP

客户端向BOOTP服务器发起请求时，服务器会查找BOOTP参数文件，并返回相应的配置

信息。

由于需要在BOOTP服务器上为每个客户端事先配置参数文件，BOOTP一般运行在相

对稳定的环境中。当网络变化频繁时，可以采用DHCP协议。

BOOTP客户端从BOOTP 服务器动态获取IP 地址的具体过程如下：

(1) BOOTP客户端以广播方式发送BOOTP请求报文，其中包含了BOOTP客户端的

MAC 地址；

(2) BOOTP服务器接收到请求报文后，根据报文中的BOOTP客户端MAC 地址，从配

置文件数据库中查找对应的IP地址等信息，并向客户端返回包含这些信息的BOOTP响应

报文；

(3) BOOTP客户端从接收到的响应报文中即可获得IP地址等信息。

在上面的IP地址动态获取过程中，BOOTP服务器的功能可以用DHCP服务器替代。

由于DHCP服务器可以与BOOTP客户端进行交互，因此用户可以不配置BOOTP 服务器，

而使用DHCP服务器为BOOTP客户端分配IP 地址。

1.6.2 配置设备使用BOOTP方式获取IP地址

本设备暂不支持BOOTP客户端功能。

第2章 DHCP Snooping配置

2.1 DHCP Snooping简介

出于安全性的考虑，网络管理员可能需要记录用户上网时所用的IP地址，确认用户从

DHCP Server获取的IP地址和用户的MAC地址的对应关系。交换机可以通过DHCP

Snooping功能监听DHCP广播报文，记录用户的IP地址信息。

DHCP Snooping 通过监听以下两种报文来获得用户从DHCP Server 获取的IP地址和

用户MAC地址信息：



监听DHCP-ACK 报文

监听DHCP-REQUEST 报文

另外，在网络中如果有私自架设的DHCP服务器，将可能导致用户得到错误的IP地址。

为了使用户能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端

口设置为信任端口与不信任端口：



信任端口连接DHCP服务器或其他交换机的端口，不信任端口连接用户或网络。

不信任端口将接收到的DHCP服务器响应的DHCP-ACK和DHCP-Offer报文丢

弃；而信任端口接收到的DHCP报文将被正常转发，从而保证了用户获取正确的IP地址。

2.2 配置DHCP Snooping

表 2-1 配置DHCP Snooping

操作

进入全局配置模式

使能全局DHCP Snooping

进入VLAN配置模式

使能VLAN的DHCP Snooping

configure terminal

dhcp-snooping

vlan vid

dhcp-snooping

命令说明

必选

可选

进入端口配置模式

指定连接到DHCP Server方向的

端口为Trust端口

dhcp-snooping trust

interface ethernet port_id (device/slot/port)

必选

注意：

如果实际应用中要用到汇聚组，则必须保证汇聚组中的每个成员端口的配置一致，

否则会导致报文处理异常。比如上行口要用到汇聚组，汇聚组总共有4个成员端口，

那么必须手动把这4个成员端口都配置成trust端口，所有其他端口配置都按照此要

求执行。

2.3 配置端口link down时的动作

当连接端口的链路断开时，可以对DHCP Snooping已经学到的动态表项进行如下操

作：



开启fast-remove功能，当端口link down时立即删除DHCP Snooping动态表项。

关闭fast-remove功能，当端口link down时不立即删除DHCP Snooping动态表

项，而是根据租期来正常老化动态表项。

表 2-2 配置端口link down时的动作

操作

进入全局配置模式

配置端口link down时的动作

命令

configure terminal

dhcp-snooping

fast-remove

port-down-action

说明

可选

2.4 DHCP Snooping的安全特性

2.4.1 限制端口连接DHCP Client的数量

如果网络中的有这样的攻击者，他伪装成多个用户向DHCP Server请求地址，导致

Server可分配的地址耗尽，Server将没有地址分配给需要IP地址的用户。针对这样的攻击

手段，网络管理员可通过：

 限制交换机物理端口连接的DHCP Client数量。这样，将攻击影响限制在与攻击

者连接在同一物理端口的用户范围内，而不是全网的用户。

 限制指定VLAN内DHCP Client的接入数量。将攻击影响范围限制在与攻击者所

属VLAN相同的用户范围内，而不是全网的用户。

这个功能需要跟DHCP Snooping一起使用才能生效。

表 2-3 配置物理端口允许连接的DHCP Client的数量

操作

进入端口配置模式

根据网络实际情况设置物理

端口允许连接的DHCP

dhcp-snooping max-clients <0-2048>

Client的数量

进入VLAN配置模式

根据网络实际情况设置允许

属于指定VLAN的DHCP

dhcp-snooping max-clients <0-2048>

Client的数量

可选

vlan vlan_list

可选

命令

interface ethernet port_id

说明

2.4.2 配置IP-Source-Guard

IP-Source-Guard是一种在2层的，非信任端口上的基于DHCP Snooping监控表和手

工配置IP源绑定来限制IP流量的安全特性。可以使用IP-Source-Guard来阻止盗用邻居IP

而导致的流量攻击。在使用IP-Source-Guard功能时需要注意下面两点：



已经开启了DHCP Snooping功能

只能在非信任端口上开启这个功能

开启IP-Source-Guard后，交换机将阻止非信任端口收到的与DHCP Snooping监控表

或者IP源绑定表信息不一致的IP流。这些信息包括：源MAC地址、源IP地址、源端口号、

VLAN。

表 2-4 配置IP-Source-Guard

操作

进入全局配置模式

配置IP源绑定表

配置IP-Source-Guard

VLAN列表

ip-source-guard vlan vlan-list

configure terminal

ip-source-guard bind ip A.B.C.D [ mac HH:HH:HH:HH:HH:HH

interface ethernet device/slot/port vlan vid ]

命令说明

可选

配置IP-Source-Guard

允许IGMP报文通过

进入端口配置模式

开启非信任端口的

IP-Source-Guard功

ip-source-guard [ ip | ip-mac | ip-mac-vlan ]

可选

ip-source-guard permit igmp

interface ethernet device/slot/port

可选

能，并指定端口过滤方

式

注意：

网络管理员可以根据实际情况来灵活配置IP源绑定表。IP源绑定表支持两种绑定方式：

 源IP

 源IP+源MAC+源端口+VLAN

在开启IP-Source-Guard功能时，同时还可以指定端口过滤方式。端口过滤方式有三种：

 ip：端口只根据ip报文的源ip地址来过滤报文，不判断源mac和vlan；

 ip-mac：端口根据ip报文的源ip和mac来过滤报文，不判断vlan；

 ip-mac-vlan：端口根据ip报文的源ip、mac和vlan来过滤报文；

如果在开启IP-Source-Guard功能时不指定端口过滤方式，实际生效的端口过滤方式是

ip-mac-vlan,即ip-source-guard命令的执行效果与ip-source-guard ip-mac-vlan命令的执行

效果完全相同。

2.4.3 配置DHCP Snooping表项备份功能

DHCP Snooping 设备重启后，设备上记录的DHCP Snooping 动态表项将丢失。如果

DHCP Snooping与安全模块（如IP-Source-Guard）配合使用，则表项丢失会导致安全模

块无法通过DHCP Snooping获取到相应的表项，进而导致DHCP 客户端不能顺利通过安

全检查、正常访问网络。

DHCP Snooping 表项备份功能将DHCP Snooping 动态表项保存到指定的文件中，

DHCP Snooping 设备重启后，自动根据该文件恢复DHCP Snooping 表项，从而保证DHCP

Snooping 表项不会丢失。

 备份模式有两种auto和manual：auto模式为系统自动备份，一旦系统检测到新

用户添加或者老用户删除，都会启动一个备份定时器，等备份定时器超时后开始

备份操作；manual模式为手动备份，用户可以根据需要随时进行手动备份操作。

 备份方式有三种flash、tftp和ftp：flash方式是把备份文件存储到设备本身的flash

内存中，tftp方式是把备份文件上传到tftp服务器上，ftp方式是把备份文件上传到

ftp服务器上。

 表项恢复是在设备启动后自动完成的，需要注意的是表项备份后最好不要轻易更

改备份方式，否则系统可能无法按照新的备份方式完成恢复操作。

表 2-5 配置DHCP Snooping表项备份功能

操作

进入全局配置模式

configure terminal

dhcp-snooping database backup { auto | manual }

flash

命令说明

可选

缺省情况下，没有开启

备份功能

可选

缺省情况下，没有开启

备份功能

可选

开启flash备份方式

开启tftp备份方式

dhcp-snooping database backup { auto | manual }

tftp { inet

A.B.C.D

| inet6

X:X::X:X

}

filename

dhcp-snooping database backup { auto | manual }

开启ftp备份方式 ftp { inet

A.B.C.D

| inet6

X:X::X:X

}

filename

缺省情况下，没有开启

username

password

关闭备份功能 no dhcp-snooping database backup

备份功能

可选

缺省情况下备份时延

配置auto备份模式下

的备份时延

dhcp-snooping database backup delay

<600-32768>

为1800s，系统检测到

动态表项发生变化后

等待该时延超时后才

开始执行备份操作。

可选

本命令只用来触发一

次DHCP Snooping表项

的备份。不管是auto模

式还是manual模式，都

可以根据需要随时使

用此命令来执行备份

操作。

立即执行备份操作 dhcp-snooping database backup

2.5 DHCP Snooping的配置显示及维护

在完成上述的配置后，可以使用下面的命令来查看相关的信息。

表 2-6 DHCP Snooping的配置显示及维护

操作

显示通过DHCP Snooping

记录的用户IP地址和MAC

地址的对应关系

显示DHCP Snooping使能

状态，信任端口信息，物理

端口允许接入的DHCP

show dhcp-snooping interface [ port-list ]

Client数量及当前接入的

DHCP Client数量

显示DHCP-Snooping使能

状态及允许属于指定VLAN

的DHCP Client的数量

查看端口的

show ip-source-guard

show dhcp-snooping vlan [ vid ]

可在任何模

式下查看

show dhcp-snooping clients

命令说明

IP-Source-Guard功能的使

能状态

查看IP-Source-Guard的源

IP绑定表

查看IP-Source-Guard

show ip-source-guard bind [ ip A.B.C.D ]

VLAN信息

查看IP-Source-Guard允许

IGMP报文通过配置

显示备份配置参数和备份与

还原状态

删除DHCP Snooping记录的

动态表项

show ip-source-guard vlan

show ip-source-guard permit igmp

show dhcp-snooping database backup

只能在全局

clear dhcp-snooping [ ip A.B.C.D | mac H:H:H:H:H:H |

vlan vid | interface ethernet port-id ]

配置模式下

删除

2.6 DHCP Snooping的配置实例

i. 组网需求

如图2-1所示：

Switch的端口Etherent0/0/1与DHCP Server相连，端口Ethernet0/0/2与DHCP Client

端的网络相连；在Switch上开启DHCP Snooping功能。设置Switch的端口Ethernet0/0/1

为信任端口。

ii. 组网图

图 2-1. DHCP Snooping配置实例

iii. 配置步骤

以下配置均在作为DHCP Snooping设备的Switch上进行。

(1) 进入全局配置模式

Switch#configure terminal

Switch(config)#

(2) 开启DHCP Snooping功能

Switch(config)#dhcp-snooping

Config DHCP Snooping successfully.

(3) 进入Ethernet0/0/1的端口配置模式

Switch(config)#interface ethernet 0/0/1

(4) 将Ethernet0/0/1设置为信任端口

Switch(config-if-ethernet-0/0/1)#dhcp-snooping trust

Config DHCP Snooping mode of port successfully.

第3章 DHCP Option 82

3.1 DHCP Option 82简介

“Option”是DHCP 报文中的一个选项，该选项在DHCP 报文中为可变长的字段，Option

选项中包含了部分租约信息、报文类型等。Option选项中最多可以包括255个Option，最

少为1个Option。

“Option 82”又称为中继代理信息选项，是DHCP报文中Option内容的一部分。RFC3046

中定义了Option 82，其位置在Option 255之前而在其他Option之后。Option 82中可以包

含最多255 个sub-option，若定义了Option 82，至少要定义一个sub-option。目前Option

82 中常用sub-option 1 和sub-option 2。

sub-option 1 是Option 82 的一个子选项，为代理电路ID（即Circuit ID）子项。子选

项通常在DHCP 中继设备上配置，定义了在传输报文的时候要携带DHCP 客户端所连接交

换机端口的端口编号及端口所属VLAN的编号。通常sub-option 1 与sub-option 2 子选项

要共同使用来标识DHCP源端的信息。

sub-option 2 也是Option 82 的一个子选项，为代理远程ID（即Remote ID）子项。该

子选项也通常在DHCP 中继设备上配置，定义了在传输报文的时候要携带中继设备的MAC

地址信息。通常与sub-option 1 子选项要共同使用来标识DHCP 源端的信息。

3.2 配置DHCP Option82

3.2.1 使能DHCP Option82

DHCP Option82功能必须和DHCP Relay或者DHCP Snooping一起使用。

当交换机收到的DHCP报文里已经具有Option 82字段后，支持下面的三种策略：

 drop：丢弃所有携带Option 82字段的DHCP报文。



keep：保持报文中的Option 82 不变并进行转发。

replace：根据本地的实际情况用新的option82替换报文中原有的Option 82并进

行转发。

表 3-1 使能DHCP Option82

操作

进入全局配置模式

使能DHCP Option82

配置DHCP option82格式

配置DHCP option82格式为

verbose时的node-identifier

进入端口配置模式

配置交换机对已携带Option 82字

段的DHCP报文的处理方式

配置DHCP option82的circuit-id

配置DHCP option82的remote-id

configure terminal

dhcp option82

dhcp option82 format { normal | verbose |

henan }

dhcp option82 format verbose node-identifier

{ mac | hostname | user-defined node-id }

interface ethernet port-id

dhcp option82 strategy { drop | keep | replace |

append { hostname | hostname-ip } }

dhcp option82 circuit-id string id

dhcp option82 remote-id string { string |

hostname }

命令说明

必选

可选

3.2.2 DHCP Option82显示和维护

表 3-2 DHCP Option82显示和维护

操作

显示DHCP option82的使能状态，

以及设备对已携带Option82字段

的DHCP报文的处理方式

show dhcp option82 [ interface port-list ]

命令说明

任何模式下

运行