DHCP全局地址池和接口地址池
1.DHCP全局地址池可以让其他任何的接口相连的主机都能获取到地址,
但是需要配置好地址池;
2.接口地址池只有在此接口下的主机才能获取到地址,该接口下的IP地址就
是该地址池的网关同时也是网段,但是需要单独配置地址池的dns;
注:接口地址池的优先级比全局地址高
全局地址池:
ip pool 8 (创建地址池)
gateway-list 192.168.8.1
network 192.168.8.0 mask 255.255.255.0
dns-list 114.114.114.114
excluded-ip-address 192.168.8.245 192.168.8.248 (保留的IP地址,需要在地址池 ip pool 8 里面配置)
static-bind ip-address 192.168.8.33 mac-address 5489-98d4-1392 (静态绑定地址到某台主机)
interface Vlanif8
ip address 192.168.8.1 255.255.255.0
dhcp select global(开启全局地址池)
查看地址池使用情况:
dis ip pool name 8 used
重置地址池使用表:
用户模式下<>reset ip pool name 8 used (清空dhcp地址池使用表记录)
该命令目的是清空dhcp地址池使用表的记录;
接口地址池:
interface Vlanif9
ip address 192.168.9.1 255.255.255.0
dhcp select interface(开启接口地址池)
dhcp server static-bind ip-address 192.168.9.9 mac-address 5489-988c-4535(静态绑定地址到某台主机)
dhcp server excluded-ip-address 192.168.9.10(保留的IP地址,可以不只一个,这里只保留一个)
dhcp server dns-list 114.114.114.114
查看地址池使用情况:
dis ip pool interface Vlanif9 used
重置地址池使用表:
用户模式下<>reset ip pool interface Vlanif9 used
不知道地址池的名字可以用:dis ip pool 查看创建过的地址池
DHCP中继relay
DHCP中继其实就是一个将dhcp的广播报文经过中继后把它转变成单播报文,只有这样才能跨网段
去获取IP地址;这类型DHCP获取方式一般是为了适应主机数量过多,如果没有中继做一个数据分担
单纯只靠一个dhcp服务器去处理所有数据,对于dhcp服务器的cpu是一个很大的挑战,
R1:
ip route-static 0.0.0.0 0.0.0.0 12.1.1.1
ip pool 8(创建相应的地址池)
gateway-list 192.168.8.1
network 192.168.8.0 mask 255.255.255.0
dns-list 114.114.114.114
ip pool 9
gateway-list 192.168.9.1
network 192.168.9.0 mask 255.255.255.0
dns-list 114.114.114.114
interface GigabitEthernet0/0/0
ip address 12.1.1.2 255.255.255.0
dhcp select global
中继:
interface Vlanif8
ip address 192.168.8.1 255.255.255.0
dhcp select relay (基于中继获取ip地址)
dhcp relay server-ip 12.1.1.2 (指定去哪一个dhcp服务器去获取地址)
interface Vlanif9
ip address 192.168.9.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 12.1.1.2
接入层交换机:
sw2:
dhcp enable
dhcp snooping enable
vlan 8
dhcp snooping enable
int e0/0/1 将上联口设置为信任接口(默认所有的接口都是非信任口)
dhcp snooping trusted
DHCP安全防护:
禁止用户手动配置静态ip地址,防止ip地址冲突(模拟器不支持)利用dhcp snooping 建立ip-mac-接口 的检查映射表项(适合企业用户采用动态ip获取的企业)
接入交换机:
dis dhcp snooping user-bind all
该表是一个动态表,插拔接口 或者从新获取地址,该表都会被刷新掉!
注意:该映射表是交换机通过窥探dhcp 报文而建立的映射表。
int e0/0/1 (连接用户的接口)
ip source check user-bind enable 开启ip源地址检查功能
此时如果用户手动配置静态地址,由于接口没有映射,此时交换机会直接将
报文丢弃。(模拟器bug ,不支持)使用user-bind static 静态建立ip-mac-接口 检查表项(这种方
法适用于企业静态给用户配置ip地址的情况):防止用户私自修改ip地址。
全局 user-bind static ip-address 192.168.31.7 mac-address 0021-cccf-1d28 interface Ethernet0/0/2
interface Ethernet0/0/2
ip source check user-bind enable
即可 接在e0/0/2口的PC 只能是31.7 mac是1d28 才可以 通过
e0/0/2口 若ip和mac 不匹配则报文将被直接丢弃 (模拟器bug不支持)
查看用户手动静态的绑定表项
可选配置:
将dhcp snooping 动态绑定表项 保存到flash 防止重启丢失
[ ]dhcp snooping user-bind autosave flash:/backup.tbl
标签:ip,address,开启,192.168,地址,接口,DHCP,dhcp From: https://www.cnblogs.com/vayne-273/p/17484492.html