在传统二层网络中,最容易出现的网络故障就是,局域网内部用户私接路由器导致串网,最终电脑无法获取到正确的DHCP服务器分配的IP地址、子网掩码、网关、DNS服务器,从而无法上网,那么交换机的DHCP Snooping命令技术则可以帮我们解决该问题,下面IT备忘录小编就以H3C DHCP Snooping给大家举实例讲解。
备注:此技术需要网管型交换机,才能实现。
方法步骤:
一、网络拓扑
拓扑说明:
1、SW1交换机,模拟路由器或DHCP核心交换机,自动分配IP地址,网段:192.168.10.0/24,VLAN:10
2、SW2交换机,作为核心交换机,与SW1,G1/0/1接口相互对接,设置为trunk模式,允许所有VLAN通过,G1/0/5也如此,其它接口连接:PC电脑,电脑接口划分为VLAN10,ACCESS模式。
3、SW3交换机,模拟成用户私接路由器,为了体现效果,同样开启DHCP,自动分配IP地址,网段:192.168.1.0/24,VLAN:10,将G1/0/1接口,设置为trunk模式,允许所有VLAN通过,最终模拟出串网效果。
备注:因为演示环境为HCL模拟器,接口显示有误,比如:GE_0/1,实质是:GE 1/0/1,这是H3C的软件bug,请大家不要介意。
配置如下:
SW1交换机(模拟主路由器)
vlan 10interface Vlan-interface10ip address 192.168.10.1 255.255.255.0dhcp enabledhcp server ip-pool vlan10gateway-list 192.168.10.1network 192.168.10.0 mask 255.255.255.0dns-list 61.139.2.69 218.6.200.139interface GigabitEthernet1/0/1port link-mode bridgeport link-type trunkport trunk permit vlan all
SW2交换机(模拟核心交换机)
vlan 10interface GigabitEthernet1/0/1port link-mode bridgeport link-type trunkport trunk permit vlan allinterface GigabitEthernet1/0/2port link-mode bridgeport access vlan 10interface GigabitEthernet1/0/3port link-mode bridgeport access vlan 10interface GigabitEthernet1/0/4port link-mode bridgeport access vlan 10interface GigabitEthernet1/0/5port link-mode bridgeport link-type trunkport trunk permit vlan all
SW3交换机(模拟用户私接路由器)
vlan 10interface Vlan-interface10ip address 192.168.1.1 255.255.255.0dhcp enabledhcp server ip-pool vlan10gateway-list 192.168.1.1network 192.168.1.0 mask 255.255.255.0dns-list 114.114.114.114 8.8.8.8interface GigabitEthernet1/0/1port link-mode bridgeport link-type trunkport trunk permit vlan allinterface GigabitEthernet1/0/2port link-mode bridgeport access vlan 10
已上配置环境,使用PC1/2/3/4自动获取IP地址时,是有几率获取到192.168.1.0/24网段的IP地址的,或者关闭SW1交换机,就会直接获取到,不管怎么样,实验环境目的是实现了,那么下面我们来使用H3C DHCP Snooping命令解决局域网串网的问题。
配置:SW2交换机
dhcp snooping enableinterface GigabitEthernet1/0/1dhcp snooping trustdhcp snooping binding record
正确获取到DHCP分配的IP地址,如下图所示:
命令解析:
dhcp snooping enable,开启dhcp snooping全局功能,缺省情况下,在开启DHCP Snooping功能后,设备的所有端口均为不信任端口,因此在开启全局DHCP Snooping后,只需配置g1/0/1口为trust口就可以。
此时,若我们关闭SW1,那么PC1/2/3将再也获取不到有效的IP地址,尽管SW2的G1/0/5接口和SW3 G1/0/1接口为UP状态,因为不信任,所以无法获取到SW3自动分配的IP地址。
已上实验,大家可以仿照配置,然后,不断关机PC1/2/3/4 或 SW1 DHCP服务器,以及反复禁用(启用)PC接口,观看实验效果。
温馨提示:H3C 老版本的交换机命令是:dhcp-snooping,比如:H3C S5500-28C-SI ,因为软件版本不同,有的命令也略有不同(H3C Comware Platform Software,Comware Software, Version 5.20, Release 2220P02)
H3C DHCP Snooping总结:
在核心交换机有配置dhcp的情况下,与核心交换机相连的汇聚或者接入交换机配置dhcp snooping来避免串网这种情况是常规且必要的网络配置技巧。