网站英语培训成立学校网站建设小组

DHCP中继配置命令

dhcp relay address-check enable   命令用来使能DHCP 中继的地址匹配检查功能。

undo dhcp relay address-check enable   命令用来禁止DHCP 中继的地址匹配检查功能。

 { 常用命令汇总：1、dis cu (display current-configuration) ;查看设备当前生效的配置。

                              2、dis int bri (display interface brief )   ;查看端口IP简要状态信息

                              3、dis arp | include 192.168.2.2         ;显示筛选ARP（地址解析协议）192.168.2.2信息。

                              4、dis ip rou （display ip routing-table）  ;查看路由表中当前激活路由的摘要信息。

                              5、dis arp    ;用来显示ARP表项

   }

   缺省情况下，禁止 DHCP 中继的地址匹配检查功能。

接口上使能该功能后，当客户端通过DHCP 中继从DHCP 服务器获取到IP 地址时，DHCP 中继可

以自动记录客户端IP 地址与MAC 地址的绑定关系，生成DHCP 中继的动态用户地址表项。同时，

为满足用户采用合法固定IP 地址访问外部网络的需求，DHCP 中继也支持静态配置用户地址表项，

即在DHCP 中继上手工配置IP 地址与MAC 地址的绑定关系。

DHCP 中继接收到主机发送的报文后，如果在用户地址表中（包括DHCP 中继动态记录的表项以及

手工配置的用户地址表项）没有与报文源IP 地址和源MAC 地址匹配的表项，则不学习该主机的

ARP 表项，从而保证非法主机不能通过DHCP 中继与外部网络通信。

需要注意的是：

• 目前只能在三层以太网端口和 VLAN 接口上执行本命令。

• 执行 dhcp relay address-check enable 命令后将只检查IP 和MAC 地址，不检查接口。不能手工输入

【举例】

# 使能DHCP 中继的地址匹配检查功能。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] dhcp relay address-check enable【注意】目前只能在三层以太网接口（包括子接口）和VLAN接口上执行本命令。执行dhcp relay address-check enable命令后将只检查IP和MAC地址，不检查接口,不能手动配置IP。

 首先连接交换机的CONSOLE口，使用超级终端进入交换机操作的指令界面:

 配置VLAN1地址：

<HG-S5500>  sys

System View: return to User View with Ctrl+Z.

[HG-S5500]  interface Vlan-interface 1

[HG-S5500-Vlan-interface1]  ip address 192.168.254.1 24

 开启web和telnet服务：

[HG-S5500]  ip http enable

[HG-S5500]  telnet server enable

 建立管理用户：

[HG-S5500]  local-user admin

 设置密码：

[HG-S5500-luser-admin]  password cipher admin110

 为该用户开启web服务：

[HG-S5500-luser-admin]  service-type web

 为该用户开启telnet服务：

[HG-S5500-luser-admin]  service-type telnet

 将该用户设置为管理员级别：

[HG-S5500-luser-admin]  authorization-attribute level 3

 telnet访问（vty）配置：

[HG-S5500]  user-interface vty 0 4

 配置本地或远端用户名口令认证方式

[HG-S5500-ui-vty0-4]  authentication-mode scheme

 配置静态路由连接外网：

[HG-S5500] ip route-static  0.0.0.0  0.0.0.0  192.168.254.2          (注:静态路由地址为外网进来的接口地址)

 建立网段访问策略，以vlan31为例，首先建立vlan31:

[HG-S5500]vlan 31

 配置vlan31的ip地址：

[HG-S5500]  interface Vlan-interface 31

[HG-S5500-Vlan-interface31]   ip address 192.168.31.1 24

在vlan31下配置子网ip地址：

[HG-S5500]  interface Vlan-interface 31

[HG-S5500-Vlan-interface31]   ip address 192.168.32.1 24 sub

 编写31网段的访问规则如能访问34、35网段，不能访问其他网段：

给其能访问的规则名为 acl number 3100:

[HG-S5500]  acl number 3100

[HG-S5500-acl-adv-3100]  rule permit ip source 192.168.31.1 0.0.0.255 destination 192.168.34.0 0.0.0.255

[HG-S5500-acl-adv-3100]  rule permit ip source 192.168.31.1 0.0.0.255 destination 192.168.35.0 0.0.0.255

 限制其访问其他网段名为 acl number 3600:

[HG-S5500]  acl number 3600

[HG-S5500-acl-adv-3600]  rule permit ip source 192.168.31.1 0.0.0.255 destination 192.168.0.0 0.0.255.255

 首先注意一点交换机S5500不支持packet_filter，因此只能通过Qos实现vlan策略，以上诉vlan31为例接着定义类h3100:

[HG-S5500]  traffic classifier h3100

[HG-S5500-classifier-h3100]  if-match acl 3100

 定义类h3600&