第三层交换机DHCP Relay技术全解

　　第三层交换机是目前最主流的交换机之一，特别是适用于中小型企业中，特别是目前对于第三层交换机的DHCP Relay技术的使用。DHCP Server可以自动为用户设置IP地址、掩码、网关、DNS、WINS等网络参数，解决客户机位置变化（如便携机或无线网络）和客户机数量超过可分配的IP地址的情况，简化用户设置，提高管理效率。但在DHCP管理使用上，存在着DHCP Server冒充、DHCP Server的Dos攻击、用户随意指定IP地址造成网络地址冲突等问题。

　　1．第三层交换机的DHCP Relay技术

　　早期的DHCP协议只适用于DHCP Client和Server处于同一个子网内的情况，不可以跨网段工作。因此，为实现动态主机配置，需要为每一个子网设置一个DHCP Server，这显然是不经济的。DHCP Relay的引入解决了这一难题：局域网内的DHCP Client可以通过DHCP Relay与其他子网的DHCP Server通信，最终取得合法的IP地址。这样，多个网络上的DHCP Client可以使用同一个DHCP Server，既节省了成本，又便于进行集中管理。DHCP Relay配置包括：

　　（1）配置IP 地址

　　为了提高可靠性，可以在一个网段设置主、备DHCP Server。主、备DHCP Server构成了一个DHCP Server组。可以通过下面的命令指定主、备DHCP Server的IP地址。在系统视图下进行下列配置:dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]。

　　（2）配置VLAN接口对应的组

　　在VLAN接口视图下进行下列配置：dhcp-server groupNo。

　　（3）使能/禁止VLAN 接口上的DHCP安全特性

　　使能VLAN接口上的DHCP安全特性将启动VLAN接口下用户地址合法性的检查，这样可以杜绝用户私自配置IP地址扰乱网络秩序，同DHCP Server配合，快速、准确定位病毒或干扰源。在VLAN接口视图下进行下列配置：address-check enable。

　　（4）配置用户地址表项

　　为了使配置了DHCP Relay的VLAN内的合法固定IP地址用户能够通过DHCP安全特性的地址合法性检查，需要使用此命令为固定IP地址用户添加一条IP地址和MAC地址对应关系的静态地址表项。如果有另外一个非法用户配置了一个静态IP地址，该静态IP地址与合法用户的固定IP地址发生冲突，执行DHCP Relay功能的第三层交换机，可以识别出非法用户，并拒绝非法用户的IP与MAC地址的绑定请求。在系统视图下进行下列配置：dhcp-security static ip_address mac_address。

　　2．其它地址管理技术

　　在第三层交换机上，为了使用户能通过合法的DHCP服务器获取IP地址，DHCP-Snooping安全机制允许将端口设置为信任端口与不信任端口。其中信任端口连接DHCP服务器或其他第三层交换机的端口；不信任端口连接用户或网络。不信任端口将接收到的DHCP服务器响应的DHCPACK和DHCPOFF报文丢弃；而信任端口将此DHCP报文正常转发，从而保证了用户获取正确的IP地址。

　　（1）开启/关闭第三层交换机DHCP-Snooping 功能

　　缺省情况下，第三层交换机的DHCP-Snooping功能处于关闭状态。在系统视图下进行下列配置，启用DHCP-Snooping功能：dhcp-snooping。

　　（2）配置端口为信任端口

　　缺省情况下，第三层交换机的端口均为不信任端口。在以太网端口视图下进行下列配置：dhcp-snooping trust。

　　(3)配置VLAN接口通过DHCP方式获取IP地址，在VLAN 接口视图下进行下列配置:ip address dhcp-alloc。访问管理配置——配置端口/IP地址/MAC地址的绑定。可以通过下面的命令将端口、IP地址和MAC地址绑定在一起，支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式，防止私自移动机器设备或滥用MAC地址攻击、IP地址盗用攻击等，但这种方法工作量巨大。