月度归档： 2024 年 10 月

一、 组网需求
• 作为 DHCP 服务器的 Switch A 为网段 10.1.1.0/24 中的客户端动态分配 IP 地址，该地址池网段分为两个子网网段：10.1.1.0/25 和 10.1.1.128/25；
• Switch A 的两个 VLAN 接口，VLAN 接口 10 和 VLAN 接口 20 的地址分别为 10.1.1.1/25 和10.1.1.129/25；
• 10.1.1.0/25 网段内的地址租用期限为 10 天 12 小时，域名后缀为 aabbcc.com，DNS 服务器地址为 10.1.1.2/25，WINS 服务器地址为 10.1.1.4/25，网关的地址为 10.1.1.126/25；
• 10.1.1.128/25 网段内的地址租用期限为 5 天，域名后缀为 aabbcc.com，DNS 服务器地址为10.1.1.2/25，无 WINS 服务器地址，网关的地址为 10.1.1.254/25。

二、组网图

三、配置步骤
(1) 配置端口属于 VLAN 及对应 VLAN 接口的 IP 地址（略）

(2) 配置 DHCP 服务
# 开启 DHCP 服务。
<SwitchA> system-view
[SwitchA] dhcp enable

# 配置 VLAN 接口 10 和 VLAN 接口 20 工作在 DHCP 服务器模式。
[SwitchA] interface vlan-interface 10
[SwitchA-Vlan-interface10] dhcp select server
[SwitchA-Vlan-interface10] quit
[SwitchA] interface vlan-interface 20
[SwitchA-Vlan-interface20] dhcp select server
[SwitchA-Vlan-interface20] quit

# 配置不参与自动分配的 IP 地址（DNS 服务器、WINS 服务器和网关地址）。
[SwitchA] dhcp server forbidden-ip 10.1.1.2
[SwitchA] dhcp server forbidden-ip 10.1.1.4
[SwitchA] dhcp server forbidden-ip 10.1.1.126
[SwitchA] dhcp server forbidden-ip 10.1.1.254

# 配置 DHCP 地址池 1，用来为 10.1.1.0/25 网段内的客户端分配 IP 地址和网络配置参数。
[SwitchA] dhcp server ip-pool 1
[SwitchA-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.128
[SwitchA-dhcp-pool-1] expired day 10 hour 12
[SwitchA-dhcp-pool-1] domain-name aabbcc.com
[SwitchA-dhcp-pool-1] dns-list 10.1.1.2
[SwitchA-dhcp-pool-1] gateway-list 10.1.1.126
[SwitchA-dhcp-pool-1] nbns-list 10.1.1.4
[SwitchA-dhcp-pool-1] quit

# 配置 DHCP 地址池 2，用来为 10.1.1.128/25 网段内的客户端分配 IP 地址和网络配置参数。
[SwitchA] dhcp server ip-pool 2
[SwitchA-dhcp-pool-2] network 10.1.1.128 mask 255.255.255.128
[SwitchA-dhcp-pool-2] expired day 5
[SwitchA-dhcp-pool-2] domain-name aabbcc.com
[SwitchA-dhcp-pool-2] dns-list 10.1.1.2
[SwitchA-dhcp-pool-2] gateway-list 10.1.1.254
[SwitchA-dhcp-pool-2] quit

四、验证配置
配置完成后，10.1.1.0/25 和 10.1.1.128/25 网段的客户端可以从 DHCP 服务器 Switch A 申请到相应网段的 IP 地址和网络配置参数。通过 display dhcp server ip-in-use 命令可以查看 DHCP 服务器为客户端分配的 IP 地址。
[SwitchA] display dhcp server ip-in-use

一、 组网需求
Switch B 和 Switch C 分别作为 DHCP 客户端和 BOOTP 客户端，从 DHCP 服务器 Switch A 获取静态绑定的 IP 地址、域名服务器、网关地址等信息。
其中：
• Switch B 上 VLAN 接口 2 的客户端 ID 为：
0030-3030-662e-6532-3030-2e30-3030-322d-4574-6865-726e-6574；
• Switch C 上 VLAN 接口 2 的 MAC 地址为：000f-e200-01c0。

二、组网图

三、配置步骤
(1) 配置接口的 IP 地址
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 10.1.1.1 25
[SwitchA-Vlan-interface2] quit

(2) 配置 DHCP 服务
# 开启 DHCP 服务。
[SwitchA] dhcp enable

# 配置 VLAN 接口 2 工作在 DHCP 服务器模式。
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] dhcp select server
[SwitchA-Vlan-interface2] quit

# 创建 DHCP 地址池 0。
[SwitchA] dhcp server ip-pool 0

# 配置采用静态绑定方式为 Switch B 分配 IP 地址。
[SwitchA-dhcp-pool-0] static-bind ip-address 10.1.1.5 25 client-identifier
0030-3030-662e-6532-3030-2e30-3030-322d-4574-6865-726e-6574

# 配置采用静态绑定方式为 Switch C 分配 IP 地址。
[SwitchA-dhcp-pool-0] static-bind ip-address 10.1.1.6 25 hardware-address 000f-e200-01c0

# 配置域名服务器、网关地址。
[SwitchA-dhcp-pool-0] dns-list 10.1.1.2
[SwitchA-dhcp-pool-0] gateway-list 10.1.1.126
[SwitchA-dhcp-pool-0] quit
[SwitchA]

四、验证配置
配置完成后，Switch B 和 Switch C 可以从 DHCP 服务器 Switch A 分别申请到 IP 地址 10.1.1.5 和10.1.1.6，并获取相关网络配置参数。通过 display dhcp server ip-in-use 命令可以查看 DHCP 服务器为客户端分配的 IP 地址。
[SwitchA] display dhcp server ip-in-use

一、 组网需求
Switch 的端口（属于 VLAN 1）连接一个局域网，局域网中的计算机分别属于 2 个网段：172.16.1.0/24和 172.16.2.0/24。要求这两个网段的主机都可以通过 Switch 与外部网络通信，且这两个网段中的主机能够互通。

二、组网图

三、配置步骤
针对上述的需求，如果在 Switch 的 VLAN 接口 1 上只配置一个 IP 地址，则只有一部分主机能够通过 Switch 与外部网络通信。为了使局域网内的所有主机都能够通过 Switch 访问外部网络，需要配置VLAN接口1的从IP地址。为了使两个网段中的主机能够互通，两个网段中的主机都需要将Switch设置为网关。
# 配置 VLAN 接口 1 的主 IP 地址和从 IP 地址。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 172.16.1.1 255.255.255.0
[Switch-Vlan-interface1] ip address 172.16.2.1 255.255.255.0 sub

# 在 172.16.1.0/24 网段中的主机上配置网关为 172.16.1.1；在 172.16.2.0/24 网段中的主机上配置网关为 172.16.2.1。

四、验证配置
# 使用 ping 命令检测 Switch 与网络 172.16.1.0/24 内主机的连通性。
<Switch> ping 172.16.1.2

显示信息表示 Switch 与网络 172.16.1.0/24 内的主机可以互通。

# 使用 ping 命令检测 Switch 与网络 172.16.2.0/24 内主机的连通性
ping 172.16.2.2

显示信息表示 Switch 与网络 172.16.2.0/24 内的主机可以互通。

# 使用 ping 命令检测网络 172.16.1.0/24 和网络 172.16.2.0/24 内主机的连通性。在 Host A 上可以ping 通 Host B。

 

一、 组网需求
如下图：Client 1～Client 32 通过 Switch 接入网络，所有客户端接入 VLAN 为 VLAN 2。当 Client 1 需要访问 Client 32 时，Client 1 发送 ARP 请求报文，ARP 请求报文在 Switch 上被复制其他所有接口上发送（除了与 Client 1 直连的接口），在设备上具有多个接口的情况下，这种复制的广播会占用接口资源。
为减少对接口资源的占用，可以在 VLAN 2 上开启 ARP 快速应答。启用 ARP 快速应答，当 Client 32通过 DHCP 服务器获得 IP 地址后，Client 1 需要访问 Client 32 时，ARP 请求报文可以在 Switch上得到应答，而 Switch 不会再对报文进行广播，从而减少了对接口资源的占用。

二、组网图

三、配置步骤
(1) 开启 Switch 上 VLAN2 开启 ARP Snooping 功能。
<Switch> system-view
[Switch] vlan 2
[Switch-vlan2] arp snooping enable

(2) 开启 Switch 上 VLAN 2 开启 ARP 快速应答功能。
[Switch-vlan2] arp fast-reply enable
[Switch-vlan2] quit

 

一、 组网需求
• Host A 和 Host D 配置为同一网段的主机（Host A 的 IP 地址是192.168.10.100/16，Host D的 IP 地址是 192.168.20.200/16），但却被设备 Switch 分在两个不同的子网（Host A 属于VLAN 1，Host D 属于 VLAN 2）。
• Host A 和 Host D 没有配置缺省网关，要求在设备 Switch 上开启代理 ARP 功能，使处在两个子网的 Host A 和 Host D 能互通。

二、组网图

三、配置步骤
# 创建 VLAN 2。
<Switch> system-view
[Switch] vlan 2
[Switch-vlan2] quit

# 配置接口 Vlan-interface1 的 IP 地址。
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.10.99 255.255.255.0

# 开启接口 Vlan-interface1 的普通代理 ARP 功能。
[Switch-Vlan-interface1] proxy-arp enable
[Switch-Vlan-interface1] quit

# 配置接口 Vlan-interface2 的 IP 地址。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.20.99 255.255.255.0

# 开启接口 Vlan-interface2 的普通代理 ARP 功能。
[Switch-Vlan-interface2] proxy-arp enable
配置完成后，Host A 和 Host D 可以互相 ping 通。

 

一、 组网需求
• Device 连接服务器群，通过属于 VLAN 10 的三个二层接口 GigabitEthernet1/0/1、
GigabitEthernet1/0/2 和 GigabitEthernet1/0/3 分别连接三台服务器。
• 服务器群的共享 IP 地址为 192.168.1.1/24，共享 MAC 地址为 00e0-fc01-0000。
配置多端口 ARP 表项，使目的 IP 为 192.168.1.1 的 IP 数据报文能同时发送到三台服务器上。

二、组网图

三、配置步骤
在 Device 上进行下列配置。
# 创建 VLAN 10。
<Device> system-view
[Device] vlan 10
[Device-vlan10] quit

# 将接口 GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3 加入到 VLAN 10 中。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] port access vlan 10
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] port access vlan 10
[Device-GigabitEthernet1/0/2] quit
[Device] interface gigabitethernet 1/0/3
[Device-GigabitEthernet1/0/3] port access vlan 10
[Device-GigabitEthernet1/0/3] quit

# 创建接口 Vlan-interface10，并配置 IP 地址。
[Device] interface vlan-interface 10
[Device-vlan-interface10] ip address 192.168.1.2 24
[Device-vlan-interface10] quit

# 配置多端口单播 MAC 表项，MAC 地址为 00e0-fc01-0000，对应的出接口为 GigabitEthernet1/0/1、
GigabitEthernet1/0/2 和 GigabitEthernet1/0/3，接口属于 VLAN 10。
[Device] mac-address multiport 00e0-fc01-0000 interface gigabitethernet 1/0/1 to
gigabitethernet 1/0/3 vlan 10

# 配置一条多端口 ARP 表项，IP 地址为 192.168.1.1，对应的 MAC 地址为 00e0-fc01-0000。
[Device] arp multiport 192.168.1.1 00e0-fc01-0000 10

# 查看 ARP 表项信息。
[Device] display arp

一、 组网需求
• Device B 通过接口 GigabitEthernet1/0/1 连接主机，通过接口 GigabitEthernet1/0/2 连接Device A。
• Device A 的 IP 地址为 192.168.1.1/24，MAC 地址为 00e0-fc01-001f。
网络管理员需要通过某种方法来防止恶意用户对 Device B 进行 ARP 攻击，增加 Device B 和 Device A 通信的安全性。如果 Device A 的 IP 地址和 MAC 地址是固定的，则可以通过在 Device B 上配置静态 ARP 表项的方法，防止恶意用户进行 ARP 攻击。

二、组网图

三、配置步骤
在 Device B 上进行下列配置。
# 在接口 GigabitEthernet1/0/2 配置 IP 地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] ip address 192.168.1.2 24
[DeviceB-GigabitEthernet1/0/2] quit
# 配置一条短静态 ARP 表项，IP 地址是 192.168.1.1，对应的 MAC 地址是 00e0-fc01-001f。
[DeviceB] arp static 192.168.1.1 00e0-fc01-001f
# 查看短静态 ARP 表项信息。
[DeviceB] display arp static

一、 组网需求
• Device B 连接主机，通过接口 GigabitEthernet1/0/1 连接 Device A。接口
GigabitEthernet1/0/1 属于 VLAN 10。
• Device A 的 IP 地址为 192.168.1.1/24，MAC 地址为 00e0-fc01-0000。
为了增加 Device B 和 Device A 通信的安全性，可以在 Device B 上为 Device A 配置一条静态 ARP表项，从而防止攻击报文修改此表项的 IP 地址和 MAC 地址的映射关系。

二、组网图

三、配置步骤
在 Device B 上进行下列配置。
# 创建 VLAN 10。
system-view
[DeviceB] vlan 10
[DeviceB-vlan10] quit

# 将接口 GigabitEthernet1/0/1 加入到 VLAN 10 中。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] port access vlan 10
[DeviceB-GigabitEthernet1/0/1] quit

# 创建接口 Vlan-interface10，并配置 IP 地址。
[DeviceB] interface vlan-interface 10
[DeviceB-vlan-interface10] ip address 192.168.1.2 8
[DeviceB-vlan-interface10] quit

# 配置一条长静态 ARP 表项，IP 地址为 192.168.1.1，对应的 MAC 地址为 00e0-fc01-0000，此条ARP 表项对应的出接口为属于 VLAN 10 的接口 GigabitEthernet1/0/1。
[DeviceB] arp static 192.168.1.1 00e0-fc01-0000 10 gigabitethernet 1/0/1

# 查看长静态 ARP 表项信息。
[DeviceB] display arp static

一、 组网需求
•Switch B 上开启 DHCP Snooping 功能，并支持 Option 82 功能；
• 对包含 Option 82 的请求报文的处理策略为 replace；
• 在 GigabitEthernet1/0/2 上配置 Circuit ID 填充内容为 company001，Remote ID 填充内容为device001；
• 在 GigabitEthernet1/0/3 上配置 Circuit ID 以 verbose 模式填充，接入节点标识为 sysname，填充格式为 ASCII 格式，Remote ID 填充内容为 device001；

二、组网图

三、配置步骤
# 开启 DHCP Snooping 功能。
<SwitchB> system-view
[SwitchB] dhcp snooping enable

# 设置 GigabitEthernet1/0/1 端口为信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit

# 在 GigabitEthernet1/0/2 上配置 DHCP Snooping 支持 Option 82 功能。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] dhcp snooping information enable
[SwitchB-GigabitEthernet1/0/2] dhcp snooping information strategy replace
[SwitchB-GigabitEthernet1/0/2] dhcp snooping information circuit-id string company001
[SwitchB-GigabitEthernet1/0/2] dhcp snooping information remote-id string device001
[SwitchB-GigabitEthernet1/0/2] quit

四、验证配置
配置完成后，使用 display dhcp snooping information 命令可查看到 DHCP Snooping 在端口GigabitEthernet1/0/2 和 GigabitEthernet1/0/3 上 Option 82 的配置信息。

一、 组网需求
•Switch B 通过以太网端口 GigabitEthernet1/0/1 连接到合法 DHCP 服务器，通过以太网端口GigabitEthernet1/0/3 连接到非法 DHCP 服务器，通过 GigabitEthernet1/0/2 连接到 DHCP 客户端。
要求：
• VLAN 100 上与合法 DHCP 服务器相连的端口可以转发 DHCP 服务器的响应报文，而其他端口不转发 DHCP 服务器的响应报文。
• 记录 DHCP-REQUEST 报文和信任端口收到的 DHCP-ACK 报文中 DHCP 客户端 IP 地址及MAC 地址的绑定信息。

二、组网图

三、配置步骤
# 配置端口 GigabitEthernet1/0/1、GigabitEthernet1/0/2 和 GigabitEthernet1/0/3 为 Access 端口，
允许 VLAN 100 通过。
<SwitchB> system-view
[SwitchB] vlan 100
[SwitchB-vlan100] port gigabitethernet 1/0/1 to gigabitethernet 1/0/3
[SwitchB-vlan100] quit

# 在 VLAN100 内开启 DHCP Snooping 功能。
[SwitchB] dhcp snooping enable vlan 100

# 指定端口 GigabitEthernet1/0/1 为 VLAN 100 下 DHCP Snooping 功能的信任端口。
[SwitchB] vlan 100
[SwitchB-vlan100] dhcp snooping trust interface gigabitethernet 1/0/1

# 在 VLAN 100 内开启 DHCP Snooping 表项记录功能。
[SwitchB-vlan100] dhcp snooping binding record
[SwitchB-vlan100] quit

四、验证配置
配置完成后，DHCP 客户端只能从合法 DHCP 服务器获取 IP 地址和其它配置信息，非法 DHCP 服务器无法为 DHCP 客户端分配 IP 地址和其他配置信息。且使用 display dhcp snooping binding可查询到获取到的 DHCP Snooping 表项。