cisco交换机上DHCP中继代理服务器的配置说明

cisco3550交换机上DHC砰继代理服务器的配置说明

2008-04-3016:55

以下为别人的文章拿来的！在交换机上配置DHC珅继代理

内容摘要：这份文档是描述如何配置动态主机配置协议

（DynamicHostConfigurationProtocol即DHCP中继代理信息（option82）特证的。这

个特征使得DHCP中继代理（本文中指一台CISCO3550交换机）可以在一台

DHC落户端又t一台DHCP艮务器进行DHCP#求转发时收集包括它自身以及它所连接

的客户端的相关信息。

最近在研究DHCPK务器方面的资料，其中有一块是在交换机上设置中继代理的问

题，其实要看如何在CISCO355眩换机上配置九年级寒假作业答案 DHC代理，最权威的资料就是到CISCO

勺网站上去查，在CISCO网站上有一份关于如何配置DHC代理的PDFt档，网址如下：

/en/US/docs/switches/lan/catalyst3550/software/relea/12.1_1

2c_ea1/configuration/guide/,以下就是我对这份

英文文档而丽京

由于水平有限，翻译的可能不是很到位，但是根据我的工作经验，作为一名网络管

理员，很多时候都需要在实际运行的网络环境中对网络设备进行配置，没有对我们尝试

的机会，配置一定要一次成功，而要实现这一点，就需要充分了解网络设备的工作原理，

查看必要的技术资料（我一般先看设备厂家网站，下载相关的资料，再看书本上的介绍

及网络上相关论坛或网友提供的资料），闲话就说到这里，下面是翻译的资料。

ConfiguringtheDHCPOption82forSubscriberIdentification

这份文档是描述如何配置动态主机配置协议（DynamicHostConfigurationProtocol

即DHCP中继代理信息（option82）特证的。这个特征使得DHC珅继代理（本文中指

一台CISCO355皎换机）可以在一台DHC落户端又t一台DHCP服务器进行DHCM求

转发时收集包括它自身以及它所连接的客户端的相关信息。

DHCP艮务器可以根据这条信息为每一个需要提供该网络服务的子网去分配一个

IP地址，实现访问控制，实施服务质量保证和安全策略。

这份文档主要包括以下部分：

理解DHCPM理及Option82子网标识

配置DHC珅继代理

显示DHCP言息

、理解DHCP勺原理及Option82子网标识

DHCPJ广泛的应用在局域网网络环境中，在该网络中一台DHC用艮务器为网中的

主机动态的分配IP地址，这一措施可以显著的减少管理IP地址所带来的费用成本。DHC

附样可以用来有效的利用有限的IP地址资源，因为在实际的网络环境中，只有那些已经

连接到网络上的主机才需要IP地址，而不是所有的主机都需要永久的占用一个IP地址。

在一个大型的室内以太网环境中，DHCPT以集中管理相多大数量的子网中

的IP地址。在交换机上启动Option82特性后，一个订阅者可以被从它连接网络的那个

交换机端口上被标记（并不是用它的MAO址），并且即使在这台位于访问层的交换机

的这个端口上连接了多台主机，这个订阅者仍然可以被唯一的标识出来。

下图是一个例子，描述了在一个大型网络中，一台DHC印机集中为子网中

的多台主机动态分配IP地址的情况（这个子网是连接在位于访问层的CISCO3550交换

机的下面）。因为DHCP?户端和它们所连接的DHCPK务器是位于不同的网段，在DHC

珅断代理（CISCO355皎换机）上需要配置一个“帮助者地址”

（helperaddress）以使得可以客户端和服务器之间进行广播转发和传输DHCP

信息。

当客户端至服务器端互换时，连接到VLAN#取端口的客户端的广播请求会被DHC

代理所截取，因此广播不会泛洪到同一VLAN勺其它客户端处。中继代理转发这个请求

到DHCPK务器，当服务器至客户端互换时，DHCPK务器会发出包含option82域的广

播回复，中继代理会根据这条信息辨认出是哪个端口连接了发出请求的客户端，从而避

免在整个VLAN中转发这个回复。

当你在交换机上启用DHC砰继代理的option82功能以后，以下事情会发生

主机（DHC哈户端）生成一个DHCP#求并将它向网络上进行广播。

交换机（DHCP代理会截获这个DHCP#求报文并在这个报文中插入中继代理信息

（option82）。在中继信息中包含交换机的MAC!址（远端ID）和标识这个包是从哪个

端口收到的SNMPifindex值。

交换机向DHCPK务器转发包含有option82域的DHCP#求。

DHCP艮务器接到这个报文后，如果这台服务器支持option82,它会依据远端ID

（remoteID）,环路ID（circuitID）来分配IP地址和实施策略，诸如限制IP地址的数量

等，然后DHCP艮务器会发出包含option82的DHC的复的响应。

DHCP艮务器向中继代理单播这条回复，中继代理会检查这个报文中的目标ip地

址以此来确认是否是先前所发出的那个报文，这个ip地址同要在三层交换

机中在端口配置模式中用iphelper-address命令来指定。

中继代理移除option82域并向连接着发出DHC帝求的DHC落户端的交换机端口

转发报文。

二、配置DHC珅继代理

以下部分描述了如何在你的交换机上配置中继代理和option82:

默认的DHC祀置

DHCPE置向导

启用DHC珅继代理和中继代理信息

使中继代理信息option82有效

配置转发策略

指定包转发地址

抑制DHCFT播和完成端口到端口的隔离

（一）默认的DHC用己置

特性默认设置

DHCI务和DHC叩继代理启用

DHCP1转发地址（iphelper-address）没有配置

在从DHC落户端向服务器端转发的tt求信息中插入和移除DHC珅继信息

（option82域）不启用

在从DHCF务器向客户端转发的回复信息中检查中继代理信息启用（不合法的信息就

丢弃）

DHC砰继代理转发策略替换（覆盖）已经存在的中继代理信息

表一默认的DHC祀置

（二）DHCPE置向导在对你的交换机进行配置DHC砰继代理之前，首先要确认

你已经设置好一台DHCF务器。比如说，你必须为这台DHCP艮务器分配一个IP地

址，为这台DHCF务器配置相关的选项，或者设置这台DHCP艮务器的数据代理。

如果你的DHCPI艮务器是一台CISCOS备，请参看CISCO网站上的相应文档

（三）启用DHC珅继代理和中继代理信息这些操作是特权模式下开始的,完成以

下步骤后就可以在交换机上启用DHC珅继代理玉米渣 和中继代理信息了，这些操作是必须的。

命令说明

步骤一configureterminal进入全局配置模式

步骤二rvicedhcp在你的交换机上启用DHC用艮务和中继代理，这个功能默

认是启用的

步骤三ipdhcprelayinform希腊神话故事 ationoption启用这台交换机在向DHCP艮务器

转发DHCFW求信息上才S入和移除DHC珅继信息，默认情况下，这个功能是不启用

的

步骤四end退回到特权模式

步骤五show三七粉的用途与功效 running-config显示当前的配置

步骤六copyrunning-configstartup-config保存当前酉己置

表二启用DHC珅继代理和中继代理信息

如果要取消DHCF务和中继代理，在全局配置模式下使用这条命令：no

rvicedhcp。如果要取消插入和移除option82域，在全局配置模式下使用这条命令：

noipdhcprelayinformationoption。

（四）使中继代理信息option82有效默认的，交换机会检查从DHC用艮务器处

接收的DHC的复报文中的option82域是否有效。如果收到一条无限的信息，交换机就

会丢弃它。如果是接收到一条合法的信息，交换机会移除option82域并转发这个报文。

如果你想取消这个功能，在全局配置模式下使用这条命令：

noipdhcprelayinformationcheck一旦取消了这个功能，交换机就不会对option82域的

。

看效性进行检查，但是仍然从接收到的报文中移徐这个选项中并转发这个报文。

（五）配置转发策略默认的，交换机上的转发策略是用交换机的DHC珅继信息来

替换已经存在的从DHC落户端处接收到的报文中的中继信息。如果默认的操作是不适

合你的网络配置环境，你可以在全局配置模式下使用ipdhcp

relayinformationpolicy{drop|keep|replace}来改变它。如果确保执行正确的转发策略，要

确认已经在全局配置模式下使用用以下命令来取消对于中继代理信息的检查：

noipdhcprelayinformationcheck命令说明步骤一configureterminal进入全局配置模式

。

步骤二ipdhcprelayinformationpolicy{drop|keep|replace}配置转发策

略。默认的操作是替换（覆盖）交换机上已经存在的中继信息。使用drop这个

关键字表示你要丢弃交换机上已经存在的中继信息使用keep这个关键字如果

表示你将保留交换机上已经存在的中继信息步骤三end退回到特权模式步骤四

showrunning-config显示当前的配置

步骤五copyrunning-configstartup-config保存当前酉己置

表三转发策略的配置

如果恢复到默认的转发策略，在全局配置模式下使用这条命令:

relayinfor舌尖上的美食作文 mationpolicy

（六）指定包转发的地址一个DHC珅继代理可以是任意一台在不同物理子网间的

DHC用艮务器和客户端之间转发DHCP艮文的设备。在IP数据包在网络中通过交换机

进行透明传输时，DHC砰继代理进行的转发与一台进行正常的数据转发路由器是有明显

的区别的。与之形成对比的是，中继代理接到到DHCP言息

并且产生一个新的DHCP言息并将它向另外一个端口发送出去。如果DHCPK务

器和DHC落户端位于不同的网络或子网内，你必须在交换机的端口配置模下下配置

“iphelper-addressaddress通常的作法是在三层交换机的最靠近客户端的那个端口上进

0

行该命令的配置，即用“iphelper-address”从命令后面跟的IP地址来指定一台DHCF

务器的地址，如果其它的DHCP艮务器是位于目标网络段中的话这个地址也可以是一个

网络地址，使用网络地址的目的是使所有

的DHCF务器都可以响应请求。以下操作是在特权模式下开始的，按照以下步骤就可

noipdhcp

以指定转发地址的操作。命令说明

步骤一configureterminal进入全局配置模式

步骤二interfacevlanvlan-id进入端口配置模式并在交换机上创建一个虚拟的端口

步骤三ipaddressip-addresssubnet-mask为这个端口配置IP地址和子网掩码

步骤四iphelper-addressaddress指定DHCP1转发的地址。这个帮助者地

址可以是一台DHCF务器的地址，如果其它的DHCF务器是位于目标网络段中的话

这个地址也可以是一个网络地址，使用网络地址的目的是使所有的DHCPK

务器都可以响应请求。如果你有多台DHCPK务器，你可以设置多个IP地址以

指向相应的DHCPK务器。

步骤五exit退回到全局配置模式

步骤六interfacerangeport-rangeorinterfaceinterface-id酉己置多个连

接DHC於户端的物理端口，并进入端口范围配置模式。或配置连接DHC於户端单个物

理端口并进入端口配置模式

步骤七switchportmodeaccess定义端口是处于VLANffi中

步骤八switchportaccessvlanvlan-id将端口定义到具体的VLAN中

步骤九end退回到特权模式

步骤十showrunning-config显示当前的配置

步骤Hcopyrunning-configstartup-config保存当前酉己置

表四指定转发地址

如果要移除DHC应转发地址，在端口配置卞K式下使用这条命令：noip

helper-address以下的例子显示了如何启用DHCP艮务，中继代理，插入和移除中继

。

代理信息option82）。它在交换机上创建了一个虚拟端口:VLAN10,

（

为该VLAN定义了一个IP地址，并且指定了DHC应转发地址是30.0.0.2（DHCP服务

器的地址）。两个连接DHC於户端的端口（千兆以太口0/1和0/2）,配置这两个端口是

属于VLAN10

Switch#configureterminalEnterconfigurationcommands,oneperline.

EndwithCNTL/Z.

Switch(config)#rvicedhcp

Switch(config)#ipdhcprelayinformationoption

Switch(config)#interfacevlan10

Switch(config-if)#ipaddress10.0.0.1255.0.0.0

Switch(config-if)#iphelper-address30.0.0.2

Switch(config-if)#exit

Switch(config)#interfacerangegigabitethernet0/1-2

Switch(config-if)#switchportmodeaccess

Switch(config-if)#switchportaccessvlan10

Switch(config-if)#exit

(七)抑制DHCP勺广播和实现相爱的成语 端口至端口的隔离如果一台DHC用艮务器回

复了一台DHCP?户端发出的请求，并通过广播的方式发送过来，交换机会广播这些回

复到同属于这个VLAN的所有端口上。然而，在一个大型的网络环境中，你必须确保安

全和足够的隔离度针对于不同的客户。

为了实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个

客户端的流量，你可以在端口配置模式下使用switchportprotected命令来配置每一个端

口以实现对于端口的保护。使用端口保护模式后可以在两个端

口间不会产生单播、广播或者广播的传播

三、显示DHCP^S.

要在所有的端口上显示插入和移除的DHC珅继信息option82域，可以在

特权模式下使用showrunning-config命令