1、cisco3550 交換機(jī)上 DHC 砰繼代理服務(wù)器的配置說明2008-04-3016:55以下為別人的文章拿來的！在交換機(jī)上配置 DHC 珅繼代理內(nèi)容摘要：這份文檔是描述如何配置動(dòng)態(tài)主機(jī)配置協(xié)議（DynamicHostConfigurationProtocol 即 DHCP 中繼代理信息（option82）特證的。這個(gè)特征使得 DHCP 中繼代理（本文中指一臺(tái) CISCO3550 交換機(jī)）可以在一臺(tái)DHC 落戶端又 t 一臺(tái) DHCP 艮務(wù)器進(jìn)行 DHCP#求轉(zhuǎn)發(fā)時(shí)收集包括它自身以及它所連接的客戶端的相關(guān)信息。最近在研究 DHCPK 務(wù)器方面的資料， 其中有一塊是在交換機(jī)上設(shè)置中繼代理的問題

2、， 其實(shí)要看如何在 CISCO355 眩換機(jī)上配置 DHC 代理， 最權(quán)威的資料就是到 CISCO勺網(wǎng)站上去查， 在 CISCO 網(wǎng)站上有一份關(guān)于如何配置 DHC 代理的 PDFt 檔， 網(wǎng)址如下：http:/ DHCP 中繼代理信息（option82）特證的。這個(gè)特征使得 DHC 珅繼代理（本文中指一臺(tái) CISCO355 皎換機(jī)） 可以在一臺(tái) DHC 落戶端又 t 一臺(tái) DHCP 服務(wù)器進(jìn)行 DHCM 求轉(zhuǎn)發(fā)時(shí)收集包括它自身以及它所連接的客戶端的相關(guān)信息。DHCP 艮務(wù)器可以根據(jù)這條信息為每一個(gè)需要提供該網(wǎng)絡(luò)服務(wù)的子網(wǎng)去分配一個(gè)IP 地址，實(shí)現(xiàn)訪問控制，實(shí)施服務(wù)質(zhì)量保證和安全策略。這份文檔主

3、要包括以下部分：理解 DHCPM 理及 Option82 子網(wǎng)標(biāo)識(shí)配置 DHC 珅繼代理顯示 DHCP 言息、理解 DHCP 勺原理及 Option82 子網(wǎng)標(biāo)識(shí)DHCPJ 廣泛的應(yīng)用在局域網(wǎng)網(wǎng)絡(luò)環(huán)境中， 在該網(wǎng)絡(luò)中一臺(tái) DHC 用艮務(wù)器為網(wǎng)中的主機(jī)動(dòng)態(tài)的分配 IP 地址， 這一措施可以顯著的減少管理 IP 地址所帶來的費(fèi)用成本。 DHC附樣可以用來有效的利用有限的 IP 地址資源， 因?yàn)樵趯?shí)際的網(wǎng)絡(luò)環(huán)境中， 只有那些已經(jīng)連接到網(wǎng)絡(luò)上的主機(jī)才需要 IP 地址， 而不是所有的主機(jī)都需要永久的占用一個(gè) IP 地址。在一個(gè)大型的室內(nèi)以太網(wǎng)環(huán)境中，DHCPT 以集中管理相多大數(shù)量的子網(wǎng)中的 IP 地址

4、。在交換機(jī)上啟動(dòng) Option82 特性后，一個(gè)訂閱者可以被從它連接網(wǎng)絡(luò)的那個(gè)交換機(jī)端口上被標(biāo)記（并不是用它的 MAO 址），并且即使在這臺(tái)位于訪問層的交換機(jī)的這個(gè)端口上連接了多臺(tái)主機(jī)，這個(gè)訂閱者仍然可以被唯一的標(biāo)識(shí)出來。下圖是一個(gè)例子，描述了在一個(gè)大型網(wǎng)絡(luò)中，一臺(tái) DHC 印機(jī)集中為子網(wǎng)中的多臺(tái)主機(jī)動(dòng)態(tài)分配 IP 地址的情況 （這個(gè)子網(wǎng)是連接在位于訪問層的 CISCO3550 交換機(jī)的下面） 。 因?yàn)?DHCP?戶端和它們所連接的 DHCPK 務(wù)器是位于不同的網(wǎng)段， 在 DHC珅斷代理（CISCO355 皎換機(jī)）上需要配置一個(gè)“幫助者地址”（helperaddress）以使得可以客戶端和服務(wù)

5、器之間進(jìn)行廣播轉(zhuǎn)發(fā)和傳輸 DHCP信息。當(dāng)客戶端至服務(wù)器端互換時(shí)，連接到 VLAN#取端口的客戶端的廣播請(qǐng)求會(huì)被 DHC代理所截取，因此廣播不會(huì)泛洪到同一 VLAN 勺其它客戶端處。中繼代理轉(zhuǎn)發(fā)這個(gè)請(qǐng)求到 DHCPK 務(wù)器，當(dāng)服務(wù)器至客戶端互換時(shí)，DHCPK 務(wù)器會(huì)發(fā)出包含 option82 域的廣播回復(fù)，中繼代理會(huì)根據(jù)這條信息辨認(rèn)出是哪個(gè)端口連接了發(fā)出請(qǐng)求的客戶端，從而避免在整個(gè) VLAN 中轉(zhuǎn)發(fā)這個(gè)回復(fù)。當(dāng)你在交換機(jī)上啟用 DHC 砰繼代理的 option82 功能以后，以下事情會(huì)發(fā)生主機(jī)（DHC 哈戶端）生成一個(gè) DHCP#求并將它向網(wǎng)絡(luò)上進(jìn)行廣播。交換機(jī)（DHCP 代理會(huì)截獲這個(gè) DH

6、CP#求報(bào)文并在這個(gè)報(bào)文中插入中繼代理信息（option82）。在中繼信息中包含交換機(jī)的 MAC!址（遠(yuǎn)端 ID）和標(biāo)識(shí)這個(gè)包是從哪個(gè)端口收到的 SNMPifindex 值。交換機(jī)向 DHCPK 務(wù)器轉(zhuǎn)發(fā)包含有 option82 域的 DHCP#求。DHCP 艮務(wù)器接到這個(gè)報(bào)文后，如果這臺(tái)服務(wù)器支持 option82,它會(huì)依據(jù)遠(yuǎn)端 ID（remoteID）,環(huán)路 ID（circuitID）來分配 IP 地址和實(shí)施策略，諸如限制 IP 地址的數(shù)量等，然后 DHCP 艮務(wù)器會(huì)發(fā)出包含 option82 的 DHC 的復(fù)的響應(yīng)。DHCP 艮務(wù)器向中繼代理單播這條回復(fù)，中繼代理會(huì)檢查這個(gè)報(bào)文中的目標(biāo)

7、ip 地址以此來確認(rèn)是否是先前所發(fā)出的那個(gè)報(bào)文，這個(gè) ip 地址同要在三層交換機(jī)中在端口配置模式中用 iphelper-address 命令來指定。中繼代理移除 option82 域并向連接著發(fā)出 DHC 帝求的 DHC 落戶端的交換機(jī)端口轉(zhuǎn)發(fā)報(bào)文。二、配置 DHC 珅繼代理以下部分描述了如何在你的交換機(jī)上配置中繼代理和 option82:默認(rèn)的 DHC 祀置DHCPE 置向?qū)⒂?DHC 珅繼代理和中繼代理信息使中繼代理信息 option82 有效配置轉(zhuǎn)發(fā)策略指定包轉(zhuǎn)發(fā)地址抑制 DHCFT 播和完成端口到端口的隔離（一）默認(rèn)的 DHC 用己置特性默認(rèn)設(shè)置DHCI務(wù)和 DHC 叩繼代理啟用DH

8、CP1 轉(zhuǎn)發(fā)地址（iphelper-address）沒有配置在從 DHC 落戶端向服務(wù)器端轉(zhuǎn)發(fā)的 tt 求信息中插入和移除 DHC 珅繼信息（option82 域）不啟用在從 DHCF務(wù)器向客戶端轉(zhuǎn)發(fā)的回復(fù)信息中檢查中繼代理信息啟用（不合法的信息就丟棄）DHC 砰繼代理轉(zhuǎn)發(fā)策略替換（覆蓋）已經(jīng)存在的中繼代理信息表一默認(rèn)的 DHC 祀置（二）DHCPE 置向?qū)г趯?duì)你的交換機(jī)進(jìn)行配置 DHC 砰繼代理之前，首先要確認(rèn)你已經(jīng)設(shè)置好一臺(tái) DHCF務(wù)器。比如說，你必須為這臺(tái) DHCP 艮務(wù)器分配一個(gè) IP 地址，為這臺(tái) DHCF務(wù)器配置相關(guān)的選項(xiàng)，或者設(shè)置這臺(tái) DHCP 艮務(wù)器的數(shù)據(jù)代理。如果你的 DH

9、CPI 艮務(wù)器是一臺(tái) CISCOS 備，請(qǐng)參看 CISCO 網(wǎng)站上的相應(yīng)文檔（三）啟用 DHC 珅繼代理和中繼代理信息這些操作是特權(quán)模式下開始的,完成以下步驟后就可以在交換機(jī)上啟用 DHC 珅繼代理和中繼代理信息了，這些操作是必須的。命令說明步驟一 configureterminal 進(jìn)入全局配置模式步驟二 servicedhcp 在你的交換機(jī)上啟用 DHC 用艮務(wù)和中繼代理，這個(gè)功能默認(rèn)是啟用的步驟三 ipdhcprelayinformationoption 啟用這臺(tái)交換機(jī)在向 DHCP 艮務(wù)器轉(zhuǎn)發(fā) DHCFW 求信息上才 S 入和移除 DHC 珅繼信息，默認(rèn)情況下，這個(gè)功能是不啟用的步驟四

10、 end 退回到特權(quán)模式步驟五 showrunning-config 顯示當(dāng)前的配置步驟六 copyrunning-configstartup-config 保存當(dāng)前酉己置表二啟用 DHC 珅繼代理和中繼代理信息如果要取消 DHCF務(wù)和中繼代理，在全局配置模式下使用這條命令：noservicedhcp。如果要取消插入和移除 option82 域，在全局配置模式下使用這條命令：noipdhcprelayinformationoption。（四）使中繼代理信息 option82 有效默認(rèn)的，交換機(jī)會(huì)檢查從 DHC 用艮務(wù)器處接收的 DHC 的復(fù)報(bào)文中的 option82 域是否有效。如果收到一條無

11、限的信息，交換機(jī)就會(huì)丟棄它。如果是接收到一條合法的信息，交換機(jī)會(huì)移除 option82 域并轉(zhuǎn)發(fā)這個(gè)報(bào)文。如 果 你 想 取 消 這 個(gè) 功 能 ， 在 全 局 配 置 模 式 下 使 用 這 條 命 令 ：noipdhcprelayinformationcheck。一旦取消了這個(gè)功能，交換機(jī)就不會(huì)對(duì) option82 域的看效性進(jìn)行檢查，但是仍然從接收到的報(bào)文中移徐這個(gè)選項(xiàng)中并轉(zhuǎn)發(fā)這個(gè)報(bào)文。（五） 配置轉(zhuǎn)發(fā)策略默認(rèn)的，交換機(jī)上的轉(zhuǎn)發(fā)策略是用交換機(jī)的 DHC 珅繼信息來替換已經(jīng)存在的從 DHC 落戶端處接收到的報(bào)文中的中繼信息。如果默認(rèn)的操作是不適合你的網(wǎng)絡(luò)配置環(huán)境，你可以在全局配置模式下使用

12、 ipdhcprelayinformationpolicydrop|keep|replace來改變它。如果確保執(zhí)行正確的轉(zhuǎn)發(fā)策略，要確認(rèn)已經(jīng)在全局配置模式下使用用以下命令來取消對(duì)于中繼代理信息的檢查：noipdhcprelayinformationcheck。命令說明步驟一 configureterminal 進(jìn)入全局配置模式步驟二 ipdhcprelayinformationpolicydrop|keep|replace配置轉(zhuǎn)發(fā)策略。默認(rèn)的操作是替換（覆蓋）交換機(jī)上已經(jīng)存在的中繼信息。使用 drop 這個(gè)關(guān)鍵字表示你要丟棄交換機(jī)上已經(jīng)存在的中繼信息使用 keep 這個(gè)關(guān)鍵字如果表示你將保留交

13、換機(jī)上已經(jīng)存在的中繼信息步驟三 end 退回到特權(quán)模式步驟四showrunning-config 顯示當(dāng)前的配置步驟五 copyrunning-configstartup-config 保存當(dāng)前酉己置表三轉(zhuǎn)發(fā)策略的配置如果恢復(fù)到默認(rèn)的轉(zhuǎn)發(fā)策略，在全局配置模式下使用這條命令:relayinformationpolicy（六） 指定包轉(zhuǎn)發(fā)的地址一個(gè) DHC 珅繼代理可以是任意一臺(tái)在不同物理子網(wǎng)間的DHC 用艮務(wù)器和客戶端之間轉(zhuǎn)發(fā) DHCP 艮文的設(shè)備。在 IP 數(shù)據(jù)包在網(wǎng)絡(luò)中通過交換機(jī)進(jìn)行透明傳輸時(shí)， DHC 砰繼代理進(jìn)行的轉(zhuǎn)發(fā)與一臺(tái)進(jìn)行正常的數(shù)據(jù)轉(zhuǎn)發(fā)路由器是有明顯的區(qū)別的。與之形成對(duì)比的是，中繼

14、代理接到到 DHCP 言息并且產(chǎn)生一個(gè)新的 DHCP 言息并將它向另外一個(gè)端口發(fā)送出去。如果 DHCPK 務(wù)器和 DHC 落戶端位于不同的網(wǎng)絡(luò)或子網(wǎng)內(nèi)，你必須在交換機(jī)的端口配置模下下配置“iphelper-addressaddress0通常的作法是在三層交換機(jī)的最靠近客戶端的那個(gè)端口上進(jìn)行該命令的配置，即用“iphelper-address”從命令后面跟的 IP 地址來指定一臺(tái) DHCF務(wù)器的地址， 如果其它的 DHCP 艮務(wù)器是位于目標(biāo)網(wǎng)絡(luò)段中的話這個(gè)地址也可以是一個(gè)網(wǎng)絡(luò)地址，使用網(wǎng)絡(luò)地址的目的是使所有的 DHCF務(wù)器都可以響應(yīng)請(qǐng)求。以下操作是在特權(quán)模式下開始的，按照以下步驟就可noipdh

15、cp以指定轉(zhuǎn)發(fā)地址的操作。命令說明步驟一 configureterminal 進(jìn)入全局配置模式步驟二 interfacevlanvlan-id 進(jìn)入端口配置模式并在交換機(jī)上創(chuàng)建一個(gè)虛擬的端口步驟三 ipaddressip-addresssubnet-mask 為這個(gè)端口配置 IP 地址和子網(wǎng)掩碼步驟四 iphelper-addressaddress 指定 DHCP1 轉(zhuǎn)發(fā)的地址。這個(gè)幫助者地址可以是一臺(tái) DHCF務(wù)器的地址，如果其它的 DHCF務(wù)器是位于目標(biāo)網(wǎng)絡(luò)段中的話這個(gè)地址也可以是一個(gè)網(wǎng)絡(luò)地址，使用網(wǎng)絡(luò)地址的目的是使所有的 DHCPK務(wù)器都可以響應(yīng)請(qǐng)求。如果你有多臺(tái) DHCPK 務(wù)器，你可

16、以設(shè)置多個(gè) IP 地址以指向相應(yīng)的 DHCPK 務(wù)器。步驟五 exit 退回到全局配置模式步驟六 interfacerangeport-rangeorinterfaceinterface-id 酉己置多個(gè)連接 DHC 於戶端的物理端口，并進(jìn)入端口范圍配置模式。或配置連接 DHC 於戶端單個(gè)物理端口并進(jìn)入端口配置模式步驟七 switchportmodeaccess 定義端口是處于 VLANffi 中步驟八 switchportaccessvlanvlan-id 將端口定義到具體的 VLAN 中步驟九 end 退回到特權(quán)模式步驟十 showrunning-config 顯示當(dāng)前的配置步驟 Hcop

17、yrunning-configstartup-config 保存當(dāng)前酉己置表四指定轉(zhuǎn)發(fā)地址如果要移除 DHC 應(yīng)轉(zhuǎn)發(fā)地址，在端口配置卞 K 式下使用這條命令：noiphelper-address。以下的例子顯示了如何啟用 DHCP 艮務(wù)，中繼代理，插入和移除中繼代理信息（option82）。它在交換機(jī)上創(chuàng)建了一個(gè)虛擬端口:VLAN10,為該 VLAN 定義了一個(gè) IP 地址，并且指定了 DHC 應(yīng)轉(zhuǎn)發(fā)地址是 （DHCP 服務(wù)器的地址）。兩個(gè)連接 DHC 於戶端的端口（千兆以太口 0/1 和 0/2）,配置這兩個(gè)端口是屬于 VLAN10Switch#configuretermin

18、alEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#servicedhcpSwitch(config)#ipdhcprelayinformationoptionSwitch(config)#interfacevlan10Switch(config-if)#ipaddressSwitch(config-if)#iphelper-addressSwitch(config-if)#exitSwitch(config)#interfacerangegigabitethernet0/1-2Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#exit(七)抑制 DHCP 勺廣播和實(shí)現(xiàn)端口至端口的隔離如果一臺(tái) DHC 用艮務(wù)器回復(fù)了一臺(tái) DHCP?戶端發(fā)出的請(qǐng)