一、排除不参与自动分配的IP地址
以下场景中可以配置某些IP地址不参与自动分配:
某企业希望为员工办公电脑分配的IP地址范围是10.1.1.2~10.1.1.254(网关地址为10.1.1.1)。但是企业中部署的DNS服务器,为了保证稳定性,希望通过手工配置IP地址为10.1.1.10。这时,可以把10.1.1.10配置为不参与自动分配的IP地址。
基于全局方式下,假设某企业希望给部门A的客户端分配的IP地址范围是:10.1.1.2~10.1.1.100(网关地址为10.1.1.1);给部门B的客户端分配的IP地址范围是:10.1.1.101~10.1.1.254。设备做DHCP服务器,可以创建两个地址池pool1(为部门A的主机分配地址)和pool2(为部门B的主机分配地址),地址池网络掩码均为24;并且在pool1中排除10.1.1.101~10.1.1.254,在pool2中排除10.1.1.1~10.1.1.100。
在作为DHCP服务器的设备上,排除不参与自动分配的IP地址。例如:在网段地址为10.1.1.0、掩码长度为24的地址池中,配置IP地址10.1.1.100~10.1.1.200不参与自动分配。
采用全局地址池时的配置:
<HUAWEI>system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] network 10.1.1.0 mask 24
[HUAWEI-ip-pool-pool1] gateway-list 10.1.1.1
[HUAWEI-ip-pool-pool1] excluded-ip-address 10.1.1.100 10.1.1.200
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] dhcp enable
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 24
[HUAWEI-Vlanif100] dhcp select interface
[HUAWEI-Vlanif100] dhcp server excluded-ip-address 10.1.1.100 10.1.1.200
二、修改租期
作为DHCP服务器和DHCP客户端的设备都可以修改租期。DHCP服务器在分配租期时,比较DHCP客户端期望的租期和DHCP服务器地址池中的租期,把较短的租期分配给DHCP客户端。
缺省情况下,设备作为DHCP服务器的缺省租期是1天;设备作为DHCP客户端时未配置缺省租期。
在作为DHCP服务器的设备上,将全局地址池pool1或接口地址池VLANIF100内的IP地址的租期修改为10天。
采用全局地址池时的配置:
<HUAWEI>system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] lease day 10
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] dhcp server lease day 10
在作为DHCP客户端的设备上,修改租期为10天(即864000秒)。
<HUAWEI>system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] dhcp client expected-lease 864000
三、为客户端分配固定的IP地址
网络规划时,有些重要设备为了保证稳定性,需要使用固定的IP地址。例如,企业内的DNS服务器、办公楼内的打印机等。该IP地址可以静态配置(通过命令ip address)也可以通过DHCP方式获取。下面介绍通过DHCP方式为客户端分配固定IP地址的方法。
在作为DHCP服务器的设备上,为客户端分配固定的IP地址。例如:在网段地址为10.1.1.0、掩码长度为24的地址池中,配置IP地址10.1.1.100只能分配给MAC地址为dcd2-fc96-e4c0的客户端。
采用全局地址池时的配置:
<HUAWEI>system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] static-bind ip-address 10.1.1.100 mac-address dcd2-fc96-e4c0
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] dhcp server static-bind ip-address 10.1.1.100 mac-address dcd2-fc96-e4c0
四、取消为客户端分配固定的IP地址
在作为DHCP服务器的设备上,取消将指定的IP地址分配给固定的客户端。例如:在网段地址为10.1.1.0、掩码长度为24的地址池中,取消将IP地址10.1.1.5固定分配给某个客户端。客户端与IP地址的静态绑定关系可以通过命令display ip pool { interface interface-pool-name | name ip-pool-name } used查看,具体显示可参见查看已使用的IP地址。
采用全局地址池时的配置:
回收IP地址10.1.1.5
reset ip pool name pool1 10.1.1.5
解除静态绑定关系
<HUAWEI>system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] undo static-bind ip-address 10.1.1.5
采用接口地址池时的配置:
回收IP地址10.1.1.5
reset ip pool interface vlanif100 10.1.1.5
解除静态绑定关系
<HUAWEI>system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] undo dhcp server static-bind ip-address 10.1.1.5
五、查看已使用的IP地址
在作为DHCP服务器的设备上,执行命令display ip pool { interface interface-pool-name | name ip-pool-name } used,查看已使用的IP地址。
例如,以下回显信息表示全局地址池pool1中,可用的IP地址一共有253个(10.1.1.1~10.1.1.254,除去网关地址10.1.1.2),其中IP地址10.1.1.254被MAC地址为0235-2036-adcc的DHCP客户端被使用;IP地址10.1.1.5与MAC地址为00e0-0987-7895的DHCP客户端绑定。
六、清除冲突地址
在作为DHCP服务器的设备上,清除地址池中冲突的地址,使冲突的地址成为可以正常使用的地址。例如:清除全局地址池pool1或接口地址池VLANIF100内冲突的IP地址。
注:地址冲突的客户端需要重新上线来获取新的IP地址。
采用全局地址池时的配置:
reset ip pool name pool1 conflict
采用接口地址池时的配置:
reset ip pool interface vlanif100 conflict
七、扩大地址池范围
缩小地址池的掩码长度,可以扩大地址池范围。例如:DHCP服务器可以为126个用户分配IP地址(地址池掩码长度为25),现在网络中新增120个用户,同样使用DHCP方式获取IP地址;此时需要将地址池掩码长度缩小到24。在扩大地址池范围之前,需要确认IP地址是否已经分配给客户端,请参见查看已使用的IP地址(本内容第五部分)。
注:掩码由25调整到24后,可以多为128个用户分配IP地址。
扩大的地址范围不能与网络中其他地址范围冲突。
根据客户端在线的情况适当规划客户端数量和地址池范围的比例。如果所有客户端都要同时在线,例如企业员工的PC,需要确保地址池中可供分配的地址数不能少于客户端的数量;如果客户端不同时在线,例如针对酒店、网吧等公共场所的PC,PC不是在同一时间在线,地址池中可供分配的地址数可以少于客户端的数量。
如果没有分配出去
在作为DHCP服务器的设备上,缩小地址池的掩码长度,可以扩大地址池范围。
采用全局地址池时的配置:
<HUAWEI>system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] undo network
[HUAWEI-ip-pool-pool1] network 10.1.1.0 mask 24 //调整掩码长度
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 24 //调整掩码长度
[HUAWEI-Vlanif100] dhcp select interface //重新使能接口地址池功能
如果已经分配出去
在作为DHCP服务器的设备上,按“回收IP地址(仅全局地址池时需要配置)->配置防止IP地址重复分配功能->调整地址池掩码长度”的步骤,扩大地址池范围。
采用全局地址池时的配置:
reset ip pool name pool1 all //回收所有的IP地址
<HUAWEI>system-view
[HUAWEI] dhcp server ping packet 3 //配置防止IP地址重复分配功能
[HUAWEI] dhcp server ping timeout 100 //配置防止IP地址重复分配功能
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] undo network
[HUAWEI-ip-pool-pool1] network 10.1.1.0 mask 24 //调整掩码长度
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] dhcp server ping packet 3 //配置防止IP地址重复分配功能
[HUAWEI] dhcp server ping timeout 100 //配置防止IP地址重复分配功能
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 24 //调整掩码长度
[HUAWEI-Vlanif100] dhcp select interface //重新使能接口地址池功能
八、缩小地址池范围
扩大地址池的掩码长度可以缩小地址池范围。例如:DHCP服务器可以为254个用户分配IP地址(地址池掩码长度为24),现在网络中减少140个用户,为避免地址浪费,此时可以将地址池掩码长度扩大到25,以缩小地址池的范围。在缩小地址池范围之前,需要IP地址是否已经分配给客户端,请参见查看已使用的IP地址(本内容第五部分)。
注:掩码由24调整到25后,可以节约128个IP地址。
如果没有分配出去
在作为DHCP服务器的设备上,扩大地址池的掩码长度,可以缩小地址池范围。
采用全局地址池时的配置:
<HUAWEI>system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] undo network
[HUAWEI-ip-pool-pool1] network 10.1.1.0 mask 25 //调整掩码长度
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 25 //调整掩码长度
[HUAWEI-Vlanif100] dhcp select interface //重新使能接口地址池功能
如果已经分配出去
在作为DHCP服务器的设备上,按“回收IP地址(仅全局地址池时需要配置)->配置防止IP地址重复分配功能->调整地址池掩码长度”的步骤,缩小地址池范围。
注:缩小地址池范围之后,拥有地址池范围之外IP地址的客户端,在租期到期后会重新申请IP地址。
采用全局地址池时的配置:
reset ip pool name pool1 all //回收所有的IP地址
<HUAWEI>system-view
[HUAWEI] dhcp server ping packet 3 //配置防止IP地址重复分配功能
[HUAWEI] dhcp server ping timeout 100 //配置防止IP地址重复分配功能
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] undo network
[HUAWEI-ip-pool-pool1] network 10.1.1.0 mask 25 //调整掩码长度
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] dhcp server ping packet 3 //配置防止IP地址重复分配功能
[HUAWEI] dhcp server ping timeout 100 //配置防止IP地址重复分配功能
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 25 //调整掩码长度
[HUAWEI-Vlanif100] dhcp select interface //重新使能接口地址池功能
九、防止从仿冒的DHCP服务器获取IP地址
在二层网络的接入设备或第一个DHCP中继上,配置DHCP Snooping功能防止从仿冒的DHCP服务器获取IP地址。
注:对于二层接入设备来说,1、2和3都是必选步骤,请按照以下顺序配置。
对于DHCP中继设备来说,仅需配置步骤1和2。
全局下的配置。
<HUAWEI>system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
连接DHCP客户端侧接口的配置。所有连接DHCP客户端的接口都需要配置,以接口GE 1/0/1为例。
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable
[HUAWEI-GigabitEthernet1/0/1] quit
连接DHCP服务器侧接口的配置。
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] dhcp snooping trusted
[HUAWEI-GigabitEthernet1/0/2] quit
十、关闭DHCP服务
在作为DHCP服务器、DHCP中继或DHCP Snooping的设备上,关闭DHCP服务。缺省情况下,DHCP服务处于关闭状态。
<HUAWEI>system-view
[HUAWEI] undo dhcp enable