路由器(Router)是连接两个或多个网络的硬件设备,在网络间起网关的作用,是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备,路由器最主要的功能为实现信息的转送。
局域网内部用户私接路由器导致串网,最终电脑无法获取到正确的DHCP服务器分配的IP地址、子网掩码、网关、DNS服务器,从而无法上网,那么交换机的DHCP Snooping命令技术则可以帮我们解决该问题,下面小编就以H3C DHCP Snooping给大家举实例讲解。
备注:此技术需要网管型交换机,才能实现。
方法步骤:
一、网络拓扑
拓扑说明:
1、SW1交换机,模拟路由器或DHCP核心交换机,自动分配IP地址,网段:192.168.10.0/24,VLAN:10
2、SW2交换机,作为核心交换机,与SW1,G1/0/1接口相互对接,设置为trunk模式,允许所有VLAN通过,G1/0/5也如此,其它接口连接:PC电脑,电脑接口划分为VLAN10,ACCESS模式。
3、SW3交换机,模拟成用户私接路由器,为了体现效果,同样开启DHCP,自动分配IP地址,网段:192.168.1.0/24,VLAN:10,将G1/0/1接口,设置为trunk模式,允许所有VLAN通过,最终模拟出串网效果。
备注:因为演示环境为HCL模拟器,接口显示有误,比如:GE_0/1,实质是:GE 1/0/1,这是H3C的软件bug,请大家不要介意。
配置如下:
SW1交换机(模拟主路由器)
- vlan 10
-
- interface Vlan-interface10
- ip address 192.168.10.1 255.255.255.0
-
- dhcp enable
- dhcp server ip-pool vlan10
- gateway-list 192.168.10.1
- network 192.168.10.0 mask 255.255.255.0
- dns-list 61.139.2.69 218.6.200.139
-
- interface GigabitEthernet1/0/1
- port link-mode bridge
- port link-type trunk
- port trunk permit vlan all
SW2交换机(模拟核心交换机)
- vlan 10
-
- interface GigabitEthernet1/0/1
- port link-mode bridge
- port link-type trunk
- port trunk permit vlan all
-
- interface GigabitEthernet1/0/2
- port link-mode bridge
- port access vlan 10
-
- interface GigabitEthernet1/0/3
- port link-mode bridge
- port access vlan 10
-
- interface GigabitEthernet1/0/4
- port link-mode bridge
- port access vlan 10
-
- interface GigabitEthernet1/0/5
- port link-mode bridge
- port link-type trunk
- port trunk permit vlan all
-
SW3交换机(模拟用户私接路由器)
- vlan 10
-
- interface Vlan-interface10
- ip address 192.168.1.1 255.255.255.0
-
- dhcp enable
-
- dhcp server ip-pool vlan10
- gateway-list 192.168.1.1
- network 192.168.1.0 mask 255.255.255.0
- dns-list 114.114.114.114 8.8.8.8
-
- interface GigabitEthernet1/0/1
- port link-mode bridge
- port link-type trunk
- port trunk permit vlan all
-
- interface GigabitEthernet1/0/2
- port link-mode bridge
- port access vlan 10
已上配置环境,使用PC1/2/3/4自动获取IP地址时,是有几率获取到192.168.1.0/24网段的IP地址的,或者关闭SW1交换机,就会直接获取到,不管怎么样,实验环境目的是实现了,那么下面我们来使用H3C DHCP Snooping命令解决局域网串网的问题。
配置:SW2交换机
- dhcp snooping enable
-
- interface GigabitEthernet1/0/1
- dhcp snooping trust
- dhcp snooping binding record
正确获取到DHCP分配的IP地址,如下图所示:
命令解析:
dhcp snooping enable,开启dhcp snooping全局功能,缺省情况下,在开启DHCP Snooping功能后,设备的所有端口均为不信任端口,因此在开启全局DHCP Snooping后,只需配置g1/0/1口为trust口就可以。
此时,若我们关闭SW1,那么PC1/2/3将再也获取不到有效的IP地址,尽管SW2的G1/0/5接口和SW3 G1/0/1接口为UP状态,因为不信任,所以无法获取到SW3自动分配的IP地址。
已上实验,大家可以仿照配置,然后,不断关机PC1/2/3/4 或 SW1 DHCP服务器,以及反复禁用(启用)PC接口,观看实验效果。
温馨提示:H3C 老版本的交换机命令是:dhcp-snooping,比如:H3C S5500-28C-SI ,因为软件版本不同,有的命令也略有不同(H3C Comware Platform Software,Comware Software, Version 5.20, Release 2220P02)
H3C DHCP Snooping总结:
在核心交换机有配置dhcp的情况下,与核心交换机相连的汇聚或者接入交换机配置dhcp snooping来避免串网这种情况是常规且必要的网络配置技巧
本文可以帮助您基本地设置和管理您的路由器。
……