步骤3、 排查网络设备配置是否正确

在DHCP的网络环境中，按照配置设备由三种情况，DHCP中继，DHCP server，DHCPsnooping，其中同一台设备上中继和server不能同时配置（10.4(3)及其以后版本没有此问题，10.4(3)之前版本有此问题），DHCP snooping是确保DHCP安全性功能，主要是防止DHCP私设，可以配合DAI防止ARP欺骗，在网络中可能存在一种或多种角色，按照以下的方式进行确认基本的配置是否正确。

1、通过Console口登录到接入设备，执行”show run“命令，查看当前设备的配置信息。

2、比对以下典型配置，检查设备的DHCP相关配置是否正确。

锐捷交换机作为DHCP server的建议配置：

²开启DHCP功能

          Ruijie(config)#service dhcp

          /*交换机上必须配置*/

²配置DHCP地址池

          Ruijie(config)#ip dhcp pool vlan2  

          /*创建一个名为 valn2 的DHCP地址池*/

          Ruijie(dhcp-config)#lease 1 2 3       

          /*1、2、3分别是天、时、分，锐捷交换机地址释放时间默认为24小时。*/

          Ruijie(dhcp-config)#network 192.168.2.0 255.255.255.0  

          /*可以分配的地址是192.168.2.1~192.168.2.253*/

          Ruijie(dhcp-config)#dns-server 8.8.8.8  6.6.6.6     

          /*8.8.8.8为主DNS，6.6.6.6为备用DNS*/

          Ruijie(dhcp-config)#default-router 192.168.2.254 

          /*分配的网关地址*/

          Ruijie(dhcp-config)#exit

          Ruijie(config)#ip dhcp pool vlan3

         Ruijie(dhcp-config)#network 192.168.3.0 255.255.255.0

          Ruijie(dhcp-config)#dns-server 8.8.8.8

          Ruijie(dhcp-config)#default-router 192.168.3.254

          Ruijie(dhcp-config)#exit

² 保留部分地址

          Ruijie(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10   

          /*不向客户端分配192.168.2.1~~192.168.2.10的地址*/

² 配置DHCP静态分配地址

          Ruijie(config)#ip dhcp pool test

          Ruijie(dhcp-config)# client-identifier 01bc.aec5.4bca.8d   

          /*针对固定MAC:bcae.c54b.ca8d,加上以太网标识01，即变为01bc.aec5.4bca.8d*/

          Ruijie(dhcp-config)# host 192.168.2.2 255.255.255.0 

          /*分配的ip地址和掩码*/

          Ruijie(dhcp-config)# dns-server 8.8.8.8 6.6.6.6   

          /*分配的主DNS8.8.8.8 和备用的DNS 6.6.6.6*/

          Ruijie(dhcp-config)# default-router 192.168.2.254 

          /*分配的网关*/

          Ruijie(dhcp-config)#ip dhcp excluded-address 192.168.1.1 192.168.1.100

          /*就是将1.1---1.100这100个IP地址的地址都排除掉了，不能向下分配了*/

 

锐捷交换机作为DHCP relay的建议配置：

²  开启DHCP功能

          Ruijie(config)#service dhcp

²  配置DHCP中继

          Ruijie(config)#ip helper-address 172.16.1.2  

          /*172.16.1.2 是DHCP服务器的地址*/

注意：DHCP relay如果DHCP server和用户网关不在同一网段是必须配置，本配置案例省略了对于三层接口的配置，relay一般配置在三层网关设备上，可以基于三层接口或者整机的全局配置，如果三层接口和全局同时配置了relay（ip helper-address），则优先选择接口配置的relay地址作为服务器地址 ，一般基于全局配置即可。

交换机会将三层接口地址作为relay地址放入DHCP报文并转化为单播报文，一般情况下（除非DHCP server配置了根据Option字段分配IP）DHCP server将根据该relay地址为该PC分配和relay地址同一网段的IP地址，在二层交换机例如S21交换机上默认只能有一个管理地址段激活，所以除了在DHCP Option字段分配地址外，不建议开启relay配置。

       

              锐捷交换机DHCP snooping的建议配置：

              ²  在接入交换机上开启dhcp snooping功能

                            Ruijie(config)#ip dhcp snooping    

                            /*开启DHCP snooping功能*/

              ² 连接DHCP服务器的接口配置为可信任口

                            Ruijie(config)#int FastEthernet0/24

                            Ruijie(config-FastEthernet 0/24)#ip dhcp snooping trust

                            /*开启DHCP snooping的交换机所有接口缺省为untrust口，交换机只转发从trust口收到的DHCP响应报文（offer、ACK、NAK），                   所以要确保是在上联DHCP server服务器的端口开启trust */

                ² 全局配置dhcp snooping ver mac-address

                            Ruijie(config)#ip dhcp snooping verify mac-address

                            /*建议开启防止地址耗尽攻击防护,源MAC和Client字段中的MAC地址不匹配的情况下，DHCP请求报文会被丢弃。*/

              注意：其他可选的配置，如防止用户手动私设IP地址，防止ARP欺骗等功能，可以参考《锐捷中低端交换机产品典型配置案例集》设置。在出             现故障时可以采用最简配置的方式确保用户可以获取地址。

       

3、根据以上的典型配置，检查设备的DHCP相关配置是否正确，确定在以上采用最简化配置的方式用户是否能够动态获取到IP地址。

       重点查看以下配置要点是正确的：

·    DHCP snooping 上联trust口只在上联口设置，如果没有配置则修改上联口trust配置。

·    确保用户网段在交换机上的VLAN划分正确，且三层接口要对应在网段要在DHCP server上的地址池中，且没有被设置为排除地址（ip dhcp excluded-address，如果被设置为排除地址，地址段将导致地址池没有可分配的地址。）。

·    如果DHCP server和用户网关不在同一网段，确保在三层接口或者全局开启relay功能，且检查中继和服务器间是否存在路由，更正确保中级和服务器之间的路由正常。

·    如果对于频繁变动的场合如酒店行业，建议租约时间控制在24小时，以免DHCP server租约时间设置过长，地址无法释放。

·    DHCP server地址池网段配置对应的网关和DNS都要配置正确。

通过以上排查如果仍然不能够解决，则进入下一步骤处理。