h3c交换机如何配置DHCP服务器、DHCP中继、DAI和IPSG？

我吧我做过的配置直接发给你吧，但是，朋友你的给点分。

交换机配置DHCP

dhcp server ip-pool 1 ：配置DHCP组1

network 172.15.1.0 mask 255.255.255.0 ：配置地址池

gateway-list 172.15.1.254：配置网关

dns-list 202.103.44.150 202.103.24.68 ：配置DNS

expired day 10 ：配置DHCP过期时间（10天）

配置DHCP中继

#

dhcp-server 1 ip 192.168.3.1

interface Vlan-interface10

ip address 172.16.10.254 255.255.255.0

dhcp-server 1

你的网络是不是有过这样的问题：明明配置了DHCP，还总有IP冲突，排查非常费劲，而且吃力不讨好，碰到素质差点的用户，免不了还被反怼几句。对付这样的人，有三个方法：1、 在域控上下发组策略，禁止用户修改IP地址；2、 在交换机上配置IPSG，他倒是能改IP地址，但是改了之后，不但上不了外网，就连内网都不通了，那他就只能自己改回来了，免去你排查之苦，就算他不改回来，对网络也不会产生任何影响。3、行政手段，一经发现私自修改IP地址，直接罚款，从工资里面扣那种。行政罚款也到不了IT外包的手里，咱们还是用点技术手段吧，那就IPSG走起。一、 原理简述：IPSG是IP Source Guard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。随着网络规模越来越大，基于源IP的攻击也逐渐增多。所谓的攻击，不一定是恶意的，他也许只是想获得上网权限而擅自修改IP地址，但是这样的行为，已经对网络造成了攻击，甚至有些人，把自己的IP地址直接改成了网关IP，把整个网络都搞崩溃了；二、网络架构及配置方法1、 废话不多说，先上拓扑图；2、 配置要求：如上图所示，内网有台服务器，需要配置静态IP，并且在接入交换机内静态绑定；PC1和PC2配置为自动获取IP地址，并且需要防止用户修改IP地址接入网络；核心交换机与接入交换机之间的接口配置为trunk模式，并且放行所有VLAN；3、 配置过程：（1） 核心交换机的配置：sysEnter system view, return user view with Ctrl+Z.[Huawei]sys core //命名交换机[core]vlan 10 //创建vlan10[core-vlan10][core-vlan10]q[core]dhcp en //开启dhcp[core]ip pool vlan10 //定义vlan10的地址池[core-ip-pool-vlan10]net 192.168.10.0 mask 24 //在地址池中声明网络[core-ip-pool-vlan10]gateway-list 192.168.10.1 //在地址池中声明网关[core-ip-pool-vlan10]dns-list 192.168.10.11 //在地址池中声明DNS服务器[core-ip-pool-vlan10]excluded-ip-address 192.168.10.2 192.168.10.20 //在地址池中声保留不分配出去的IP地址[core-ip-pool-vlan10]int vlan 10[core-Vlanif10]ip add 192.168.10.1 24 //配置vlan的IP地址[core-Vlanif10]dhcp sele glo //选择全局的地址池给DHCP客户端使用[core-Vlanif10]int g0/0/1[core-GigabitEthernet0/0/1]p l t //1口配置为trunk模式[core-GigabitEthernet0/0/1]p t a v a //允许所有vlan通过（2） 接入交换机的配置：sys[Huawei]sys SW1[SW1]vlan 10[SW1-vlan10]int g0/0/4[SW1-GigabitEthernet0/0/4]p l t[SW1-GigabitEthernet0/0/4]p t a v a[SW1-GigabitEthernet0/0/4]q[SW1]p g g0/0/1 to g0/0/3 //创建端口组，组成员为1-3口[SW1-port-group]p l a //1-3口配置为access模式[SW1-port-group]p d v 10 //1-3口access vlan10[SW1-port-group]q[SW1]dhcp en[SW1]dhcp snooping en //启用全局DHCP Snooping功能[SW1]vlan 10[SW1-vlan10]dhcp sn[SW1-vlan10]dhcp snooping en //启用VLAN 10下的DHCP Snooping功能[SW1-vlan10]dhcp snooping trusted int g0/0/4 //配置4口为DHCP信任口[SW1-vlan10]q[SW1]user-bind static ip-address 192.168.10.11 mac-address 5489-98F9-77D6 interface g0/0/3 vlan 10 //创建服务器的静态绑定表项[SW1]vlan 10[SW1-vlan10]ip source check user-bind en //启用IPSG功能[SW1-vlan10]q配置完成，来查看DHCP绑定是否正确：dis dhcp snooping user-bind all再查看静态绑定是否正确：dis dhcp static user-bind all经过以上配置，PC1和PC2使用DHCP服务器动态分配的IP地址可以正常访问网络，如果将IP地址更改为其他的静态IP地址，则无法访问网络。同理，服务器修改为其他IP地址后，也是无法正常通讯的。这样一来，网络就会清静很多，从此“无丝竹之乱耳，无案牍之劳形”，何不快哉。

IPSG（IP和MAC绑定）配置

功能介绍：

IPSG可以防止恶意主机伪造合法主机的IP地址仿冒合法主机来访问网络或攻击网络

它是利用交换机上的绑定表过滤非法主机发送的报文，以阻止非法主机访问网络或者攻击网络

绑定表分为 静态绑定表和DHCP Snooping动态绑定表

静态绑定表：通过user-bind命令手工配置。该方法使用于局域网络中主机数较少，且主机使用静态配置Ip地址的网络环境

DHCP Snooping动态绑定表：配置DHCP Snooping功能后，DHCP主机动态获取IP地址时，设备根据DHCP服务器发送的DHCP回复报文动态生成。该方式适用于局域网络中主机较多，且主机使用DHCP动态获取Ip地址的网络环境

下面来看静态配置示例：

需求：

1、某公司员工通过交换机连接网络，研发人员ip地址为10.0.0.1，人力资源员工ip地址为10.0.0.11，设备上配置ACL，只允许人力资源员工10.0.0.11可以访问internet

2、在人力资源员工出差关机的情况下，研发员工也不能通过私自将ip地址更改为10.0.0.11访问internet

配置思路 ：

1、在switch上创建研发员工和人力资源员工的绑定表

2、在Switch的GE0/0/1和GE0/0/2接口下使能IPSG检查功能

操作步骤：

system-view //进入系统视图

user-bind static ip-address 10.0.0.1 mac 0000-0000-0001 //创建研发人员绑定表项

user-bind static ip-address 10.0.0.11 mac 0000-0000-0002 //创建人力资源员工的绑定表项

interface g0/0/1 //进入GE0/0/1接口视图

ip source check user-bind enable //使能GE0/0/1接口的IPSG检查功能

interface g0/0/2 //进入GE0/0/2接口视图

ip source check user-bind enable //使能GE0/0/2接口的IPSG检查功能

动态配置示例：

需求：

公司某部门员工IP地址均通过DHCP方式获取，通过部署IPSG实现员工只能使用DHCP Server分配的IP地址，不允许私自配置静态IP地址，如果私自制定IP地址将无法访问网络

配置思路

1、在switch上配置DHCP Snooping功能，生成DHCP snooping 动态绑定表

2、在switch连接员工主机的vlan10上使能IPSG功能

跳过dhcp配置，假设pc 通过DHCP方式动态获取到IP地址

system-view //进入系统视图

dhcp enable //全局使能DHCP功能

dhcp snooping //全局使能DHCP Snooping 功能

vlan10 // 进入vlan10视图

dhcp Snooping enable //在vlan视图下使能DHCP Snooping功能

dhcp Snooping trusted interface g0/0/3 //将连接DHCP server的g0/0/3接口配置为信任接口

ip source check user-bind enable //基于vlan使能IPSG检查功能

---