我们知道DHCP协议是网络中管理IP分配的协议,不少网络结构中都有其应用。前面我们对DHCP Relay的基本概念和意义都做了介绍。对于这部分知识我们这次针对的就是配置内容。现在让我们看一下本次讲解的网络环境是如何的吧。
功能需求及组网说明
利用DHCP Relay进行IP、MAC地址绑定配置
『配置环境参数』
1.PC1的IP地址为10.1.1.2/24,MAC地址为000f-1fb8-fcb8
2.PC1连接到交换机的以太网端口0/1,属于VLAN10
3.网关在三层交换机SwitchA上,地址为10.1.1.1/24
『组网需求』
在交换机上对PC1进行IP+MAC+Port的绑定,使得在交换机的端口0/1下,只允许PC1这一台PC机上网
2数据配置步骤
『利用DHCP Relay进行地址绑定配置流程』
当PC机进行DHCP获取IP地址的过程时,作为DHCP Relay的交换机会记录PC机的MAC地址,以及DHCP Server所分配给PC机的IP地址,同时建立一个动态的DHCP Relay Security表项。因此,可以利用这一特性,在交换机上采用DHCP Relay Security命令,来手工添加PC机的IP地址和MAC地址表项,同时使能交换机的DHCP Relay安全特性,来达到静态地址绑定的目的。
【SwitchA相关配置】
1.创建(进入)VLAN10
- [SwitchA]vlan 10
2.将E0/1加入到VLAN10
- [SwitchA-vlan10]port Ethernet 0/1
3.创建(进入)VLAN接口10
- [SwitchA]interface Vlan-interface 10
4.为VLAN接口10配置IP地址
- [SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0
5.为VLAN接口10配置一个假设的DHCP服务器地址
- [SwitchA-Vlan-interface10]ip relay address 1.1.1.1
6.使能VLAN接口10对用户地址合法性检查的DHCP Relay的安全特性
- [SwitchA-Vlan-interface10]dhcp relay security address-check enable
7.配置DHCP Relay的安全地址表项
- [SwitchA]dhcp relay security 10.1.1.2 000f-1fb8-fcb8 static
【补充说明】
经过以上配置,可以完成将PC1的IP地址与MAC地址的静态绑定功能。
如果要完成交换机的端口0/1下,只允许IP地址为10.1.1.2,MAC地址为000f-1fb8-fcb8的PC1上网,使用其他IP地址或者MAC地址的PC机均无法通过端口0/1上网的需求,还需要手工将PC1的MAC地址静态绑定到端口0/1上,同时在端口0/1上配置端口最大MAC地址学习数目为0:
- [SwitchA]mac-address static 000f-1fb8-fcb8 interface Ethernet 0/1 vlan 10
- [SwitchA]interface Ethernet 0/1
- [SwitchA-Ethernet0/1]mac-address max-mac-count 0
如果要完成只允许PC1通过端口0/1上网,则需要将交换机上其他端口分别与其他PC机进行MAC地址绑定。
支持上述功能的设备具体型号有:S3526/F、S3528P/G、S3552P/G/F。