1、DHCP relay(中继),如何实现多服务器的热备
ip helper-address
1.1.1.1
ip helper-address
2.2.2.2
针对交换机来说,它并不能感知任何服务器是否正常工作,也不管服务器是否开机工作,它只是很机械性的往所有ip地址去发dhcp的请求报文,接下来就监听谁给自己回包,根据dhcp报文到达的先后顺序来选择先到达的服务器分配出来的ip。
产生如下两种情况
1)服务器1,2都正常工作,交换机往2台服务器都发送请求,这样就看哪台服务器先回复dhcp
offer,ack,来选择最终ip的分配,这样受网络情况,服务器性能等影响,用户获得的地址有可能是1分配的,也可能是2分配的,无法控制;
2)其中一个服务器宕机,比如1,但是交换机还是会按照配置的模板,往1,2都发送请求,这样实际只有服务器2会回复,当然并不影响使用,因为PC最终还是可以获取到地址的
2、交换机是否可以既作为DHCP
Server又同时开启DHCP Snooping
可以
3、交换机是否可以既作为DHCP
Server又同时开启DHCP中继
在10.4(3)之前版本无法实现dhcp
server与dhcp中继共用,但是在10.4(3)及之后版本可以实现dhcp server与dhcp 中继共用。
4、DHCP Snooping和DHCP
Option82是否可以共用
DHCP Snooping功能与DOT1x的DHCP
Option 82功能是互斥的,也不能同时使用DHCP Snooping和DHCP Option82。
也即ip dhcp relay
information option82,ip dhcp relay information option dot1x与ip dhcp snooping命令冲突
Ruijie(config)#ip
dhcp snooping
Ruijie(config)#service
dhcp
Ruijie(config)#ip
dhcp relay information option82
%ERROR: conflict with dhcp snooping
Ruijie(config)#ip dhcp relay information option dot1x
%ERROR: conflict with dhcp snooping
在开启ip dhcp
snooping情况下,可以采用如下替代方式,运用option 82
ip dhcp snooping
information option
ip dhcp snooping
6、DHCP SERVER配置给固定的PC(MAC唯一)分配静态IP
需求:
给MAC地址为0002.b304.1265的用户分配固定IP:192.168.128.174
通过配置client-identifier
01+用户MAC,来实现,如:
service dhcp
ip dhcp pool
P_192.168.128.174
client-identifier 0100.02b3.0412.65 //针对固定MAC:0002.b304.1265
host 192.168.128.174 255.255.255.128 //分配固定IP:192.168.128.174
lease 1 0 0 //租约时间1天
dns-server 202.116.64.2 202.116.64.3 //dns服务器地址
default-router 192.168.128.254 //默认路由
注释:client-identifier选项 = 网络类型 + MAC ,网络类型,以太网是01。
7、交换机做DHCP Server最大支持的用户数
S3250E:250
S3760E:2000
S5750:2000
S5750E:2000
S6000:2000
S8600:8000
S12000:8000
1)以上数量是各产品截至2015年4月6日最新软件上支持的性能容量,关于版本可以查看版本管理系统;
2)上面的数量是最终的DHCP 分配出去的IP地址数量,但实际上配置DHCP
pool池可以更多,比如配置了2500个pool,但是这些池里面最终最多只能分配出去2K的地址。
8、supvlan+dhcp
snooping+dhcp option82配置案例
需求:
1)5750 supvlan
168,subvlan 1681--1688,subvlan指定ip的范围
2)5750上面做dhcp relay,服务器能根据不同的subvlan分配不同范围的ip
3)5750需要开启dhcp
snooping,DAI,防dhcp欺骗,防arp欺骗
vlan 168
name Stu17
supervlan
subvlan 1681-1688
!
vlan 1681
name vlan168Sub1
subvlan-address-range 192.168.52.1
192.168.52.10
!
vlan 1682
name vlan168Sub2
subvlan-address-range 192.168.52.11
192.168.52.20
!
vlan 1683
subvlan-address-range 192.168.52.21
192.168.52.30
!
vlan 1684
subvlan-address-range 192.168.52.31
192.168.52.40
!
service dhcp
ip
helper-address 202.201.29.248
!
ip dhcp snooping
verify mac-address
ip dhcp snooping
information option
ip dhcp snooping
!
ip arp
inspection vlan 1681-1688
!
interface
GigabitEthernet 0/1
switchport access vlan 1681
9、FW卡环境下DHCP配置案例
拓扑:
PC----g5/2 S86(FW)
用户网段:192.168.100.0/24
用户网关:192.168.100.254/24
用户vlan:109
FW配置:
ip session
acl-filter-default-permit
!
firewall
transparent
!
interface Vlan
109
ip address 192.168.100.253 255.255.255.0
bridge-group 1
!
interface Vlan
1109
bridge-group 1
!
ip route 0.0.0.0
0.0.0.0 192.168.100.254
!
S86配置:
vlan 109
!
vlan 1109
!
no service
password-encryption
service dhcp
!
ip dhcp pool
vlan1109
network 192.168.100.0 255.255.255.0
dns-server 218.85.157.99 192.168.58.110
default-router 192.168.100.254
!
interface
GigabitEthernet 5/1
switchport access vlan 109
!
interface
GigabitEthernet 5/2
switchport access vlan 109
!
interface TenGigabitEthernet
3/1
port-group 1
!
interface
TenGigabitEthernet 3/2
port-group 1
!
interface
AggregatePort 1
switchport mode trunk
!
interface VLAN
1109
no ip proxy-arp
ip address 192.168.100.254 255.255.255.0
查看S86 DHCP用户绑定信息:
Ruijie#show ip dhcp binding
IP addressClient-Identifier/ Lease expirationType
Hardware address
192.168.100.3 0100.235a.bd19.75 000 days 23
hours 59 mins Automatic
查看FW流信息:
Ruijie#show ip fpm flows
src_ipdst_ipprotocol s&d_port/type&code flow_state runtime(s) lefttime(s)
SRC_BYTES DST_BYTES
192.168.100.3 218.85.157.99 UDP S:65386 D:53 UDP_STARTED17491980
192.168.100.254
192.168.100.3 ICMP type:8 code:0 ICMP_STARTED27360
0.0.0.0255.255.255.255 UDP S:68 D:67 UDP_STARTED2586780
192.168.100.3 239.255.255.250 UDP S:61856 D:1900 UDP_STARTED0591610
192.168.100.254
192.168.100.3 UDP S:67 D:68UDP_ESTABLISHED 68859845201312
192.168.100.254
192.168.100.3 ICMP type:8 code:0 ICMP_STARTED27360
10、S3550是否支持DHCP
Server
不支持DHCP Server,只支持DHCP
Relay。
11、交换机在配置dhcp
option dot1x时的注意事项
1)此命令的实际生效需要在AAA/802.1x
相关的配置正确的情况下。
2)在应用此方案时需要启用802.1x
的DHCP 模式的IP 授权 aaa authorization ip-auth-mode dhcp-server
3)此命令与dhcp
option82 命令互斥,不能同时使用。
4)在启用了802.1x 的DHCP
模式的IP 授权的模式下(aaa authorization ip-auth-mode dhcp-server ),也会设置MAC + IP 的绑定,所以不能与DHCP动态绑定功能同时启用。
12、二层交换机在开启dhcp
relay时的注意事项
对于二层的网络设备来说,需要实现跨管理vlan
的DHCP 中继功能时,必须打开option dot1x、动态地址绑定或者option 82 功能中的一个功能,否则在二层设备上只能实现管理vlan 的relay
功能。
13、交换机配置DHCP
server功能,地址池中有大量冲突的地址无法被再次分配
交换机作为DHCP Server时下发地址前会进行此地址是否冲突的检测(发免费ARP),如果检测为冲突则记录下来以后不再下发此地址。需要通过手动清除这些冲突地址,这些地址才可能被再次分配。
命令:clear ip dhcp
conflict
14、S2900E交换机是否支持DHCP
Server
S29E是一款弱三层交换机,不支持DHCP
Server功能
15、DHCPv6 Server典型配置举例
组网需求
用户环境中,最常见的是在网络核心或汇聚位置部署DHCPv6
Server,用来分配和管理整个子网的IP地址分配。
组网拓扑
如下图,在汇聚设备上开启DHCPv6
Server功能,为子网中的PC分配IPv6地址和其他网络配置信息。在Server上配置了可供分配的IA_NA地址范围,当PC请求地址分配时,Server收到该请求后从IA_NA地址范围中计算出一个可用的地址分配给PC。同时,Server也提供DNS
Server地址以及域名等信息。另外,要保证DHCPv6 Server功能生效,在开启Server功能的三层接口上,还需要配置与IA_NA处于同一网段的IP地址:
图 1 11 DHCPv6
Server组网拓扑图
配置要点
如果核心设备作为DHCPv6 Server,可能会增加该设备的CPU和内存占用率,当Client数量增加时,同时也会增加对Server的压力。因此,DHCPv6
Server尽量采用高性能的设备充当,或采用单独的设备作为DHCPv6 Server。
配置步骤
汇聚网关设备上启用DHCPv6 Server功能:
# 配置一个名为pool1的配置信息池,并配置域名、DNS Server、IA_NA等,然后在vlan
1接口上打开DHCPv6 Server功能:
Ruijie#
configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Ruijie(config)# ipv6 dhcp pool pool1
Ruijie(config-dhcp)# domain-name example.com
Ruijie(config-dhcp)# dns-server 2008:1::1
Ruijie(config-dhcp)# iana-address prefix
2008:50::/64
Ruijie(config-dhcp)# exit
Ruijie(config)# interface vlan 1
Ruijie(config-if)# ipv6 address 2008:50::1/64
Ruijie(config-if)# ipv6 dhcp server pool1
Ruijie(config-if)# no ipv6 nd suppress-ra
Ruijie(config-if)# ipv6 nd managed-config-flag
Ruijie(config-if)# ipv6 nd other-config-flag
Ruijie(config-if)# ipv6 nd prefix 2008:50::/64
no-advertise
16、DHCPv6 Relay 典型配置举例
组网需求
Device1 开启DHCPv6 Relay Agent并且目的地址指向3001::2;Device2希望通过下一级Relay继续处理转到其他服务器,所以开启DHCPv6
Relay Agent并且目的地址指向FF02::1:2(所有服务器和Relay组播地址),出接口指定为上联目标地址的三层接口为gi 0/1。
组网拓扑
图 1 12DHCPv6
Relay Agent组网拓扑图
配置要点
在网关上启用DHCPv6 Relay Agent功能,将Destination指向已知的服务器地址或者下一级Relay地址。
配置步骤
汇聚网关设备Device1上启用DHCPv6 Relay Agent功能并指定目的地址3001::2:
Ruijie#config
Enter configuration commands, one per line. End with CNTL/Z
Ruijie(config)#interface vlan 1
Ruijie(config-if)# ipv6 dhcp relay destination
3001::2
汇聚网关设备Device2上启用DHCPv6 Relay Agent功能并指定目的地址FF02::1:2:
Ruijie#config
Enter configuration commands, one per line. End with CNTL/Z
Ruijie(config)#interface
vlan 1
Ruijie(config-if)#ipv6 dhcp relay destination
FF02::1:2 interface gi 0/1
17、我司交换机是否支持show ip dhcp pool 的命令?
截止目前我司交换机只有10.4(3b17)及以上版本支持该命令。该命令可以用来查看各个DHCP pool地址池的可用地址数,分配出去的IP地址统计等信息。
18、show ip dhcp binding看到的idle状态代表什么?
idle表示当前空闲的地址,空前原因可能是过期没续祖或者DHCP客户端主动释放,显示为idle的地址是可以分配出去的。
19、DHCPV6和IPV6-ND共用时的注意事项;
由于IPV6的DHCP是不会分配网关地址的,客户端要获取网关地址是需要通过IPV6的路由通告(ND)功能实现,但是开启了路由通告,用户获取到的IPV6地址就会和DHCPV6的冲突,为了实现用户获取的地址是DHCPV6分配的同时,又要让客户获取到ND发的网关地址,需要关闭ND的地址通告。配置如下:
例如,客户SVI口配置是:
interface VLAN 515
no ip
proxy-arp
ip
helper-address 202.206.16.68
ip
address 10.15.0.1 255.255.224.0
ipv6
address 2001:DA8:9000:C515::1/64
ipv6
enable
no
ipv6 nd suppress-ra
ipv6
nd managed-config-flag
ipv6
nd other-config-flag
则需要在接口下新增“ipv6 nd prefix 2001:da8:9000:c515::/64 no-autoconfig” //指明通告的前缀不能用于无状态自动配置
备注:因为网关与设备肯定在同一链路的,所以设备DHCP获取到的网关地址是网关的链路本地地址。
20、XP系统是否支持DHCPV6获取?
明确XP系统不支持DHCPv6获取地址,即有状态自动获取。
规避方法:
1)若客户端需要获取地址,可以通过无状态自动获取来分配前缀信息。
2)可以尝试安装 dibbler.exe 这个软件来支持(注:经过测试,部分XP系统上存在使用该软件后依旧无法获取的情况)
21、我司设备作为DHCP Server时,如何设置Option相关选项?
ip dhcp pool ruijie
option 66 ascii 10.0.1.4:/var/tmp/rootfs
注意:
1)配置方面:
Ruijie(dhcp-config)#option 66 ?
ascii Data is an NVT ASCII string //后面接的就是普通的字符串
hex Data is a hexadecimal string //后面跟上的是十六进制字符串,即是(0-F之间)
ip Data is one or more IP addresses //后面跟上IP
2)测试方面:只有当客户端有请求option 66的时候,交换机才会回应option 66字段。