DHCP Relay配置

25             DHCP Relay配置 25.1        概述 25.1.1  理解DHCP

DHCP協議被廣泛用來動態分配可重用的網路資源，如IP地址。

DHCP Client發出DHCP DISCOVER廣播報文給DHCP Server。DHCP Server收到後DHCP DISCOVER報文後，根據一定的策略來給Client分配資源,如IP地址，發出DHCP OFFER報文。DHCP Client收到DHCP OFFER報文後，驗證資源是否可用。如果資源可用發送DHCP REQUEST報文；如果不可用，重新發送DHCP DISCOVER報文。伺服器收到DHCP REQUEST報文，驗證IP地址資源（或其他有限資源）是否可以分配，如果可以分配，則發送DHCP ACK報文；如果不可分配，則發送DHCP NAK報文。DHCP Client收到DHCP ACK報文，就開始使用伺服器分配的資源；如果收到DHCP NAK，則可能重新發送DHCP DISCOVER報文再次請求另一個IP地址。 25.1.2  理解DHCP中繼代理（DHCP Relay Agent）

DHCP請求報文的目的IP地址為255.255.255.255，這種類型報文的轉寄局限於子網內，不會被裝置轉寄。為了實現跨網段的動態IP分配，DHCP Relay Agent就產生了。它把收到的DHCP 請求報文封裝成IP單播報文轉寄給DHCP Server，同時，把收到的DHCP響應報文轉寄給DHCP Client。這樣DHCP Relay Agent就相當於一個轉寄站，負責溝通位於不同網段的DHCP Client和DHCP Server。這樣就實現了只要安裝一個DHCP Server就可對所有網段的動態IP管理，即Client—Relay Agent—Server模式的DHCP動態IP管理。     

圖1

VLAN 10和VLAN 20分別對應10.0.0.1/16和20.0.0.1/16的網路，而DHCP Server在30.0.0.1/16的網路上，30.0.0.2的DHCP Server要對10.0.0.1/16和20.0.0.1/16的網路進行動態IP管理，只要在作為網關的裝置上開啟DHCP Relay Agent，並指定DHCP Server IP為30.0.0.2就可以了 25.1.3  理解DHCP Relay Agent Information(option 82)

根據RFC3046的定義，中繼裝置進行DHCP relay時，可以通過添加一個option的方式來詳細的標明DHCP client的一些網路資訊，從而使伺服器可以根據更精確的資訊給使用者指派不同許可權的IP，根據RFC3046的定義，所使用option選項的選項號為82，故也被稱作option82，該option可以繼續分解成多個子選項，現階段經常使用的子選項有Circuit ID和Remote ID。本公司實現的 relay agent information現階段存在兩種，一種是與802.1x/SAM應用方案結合relay agent information option dot1x，另一種是結合使用者所屬的連接埠vid，slot，port，以及裝置mac資訊的relay agent information option82，下邊對兩種方案應用時option攜帶的內容及格式以及一些典型的應用方案進行一些說明：

1.        relay agent information option dot1x：此種應用方案需要結合802.1x認證以及我司產品RG-SAM。通過RG-SAM在802.1x認證過程中給裝置下放不同的IP許可權，結合DHCP client所屬的vid組合成Circuit ID子選項。在DHCP relay上傳到DHCP server時，結合DHCP server的配置，就可以實現給不同許可權使用者指派不同許可權IP的應用。組合成Circuit ID格式如下，其中priviliage和vid欄位各佔兩個位元組：

圖2

2.        relay agent information option82：此種option的應用不需要結合其他協議模組的運行，裝置在DHCP relay的過程中，根據收到DHCP請求的實體連接埠，以及裝置自身的物理地址資訊，組合構成option82資訊上傳到伺服器，option選賢得格式如下：

Agent Circuit ID

圖3

Agent Remote ID

圖4 25.1.4  理解DHCP relay Check Server-id功能

在DHCP應用時，通常會為每一個網路配備多個DHCP伺服器，從而進行備份，防止因為一台伺服器的工作不正常影響網路的正常使用。在DHCP擷取的四個互動過程中，當DHCP client在發送DHCP REQUEST時已經選定了伺服器，此時會在請求的報文中攜帶一個server-id的option選項，在某些特定的應用環境中為了減輕網路伺服器壓力，需要我們relay能夠使能此選項，只把請求報文發給此選項裡的server，而不是發送給每一個配置的DHCP server，上述就是DHCP check server-id功能 25.2        配置DHCP 25.2.1  配置DHCP中繼代理

在全域配置模式下，請按如下步驟配置DHCP中繼代理：

命令	作用
Ruijie (config)# service dhcp	啟用DHCP代理
Ruijie(config)# no service dhcp	關閉DHCP代理。

  25.2.2  配置DHCP Server的IP地址

在配置DHCP Server的IP地址後，裝置所收到的DHCP請求報文將轉寄給它，同時，收到的來自Server的DHCP響應報文也會轉寄給Client。

DHCP server地址可以全域配置，也可以在三層介面上配置，每種配置模式都可以配置多個伺服器位址最多可以配置20個伺服器位址，。在某介面收到DHCP請求，則首先使用介面DHCP伺服器；如果介面上面沒有設定管理員地址，則使用全域配置的DHCP伺服器。

DHCP中繼支援基於vrf的中繼功能，配置方法就是在對應的伺服器位址前面添加vrf參數。配置DHCP伺服器位址請按如下方式進行：

命令	作用
Ruijie(config)# IP helper-address [vrf]A.B.C.D	添加一個全域的DHCP伺服器位址
Ruijie(config-if)# IP helper-address[vrf] A.B.C.D	添加一個介面的DHCP伺服器位址。此命令必須在三層介面下設定。
Ruijie(config)# no IP helper-address[vrf] A.B.C.D	刪除一個全域的DHCP伺服器位址
Ruijie(config-if)# no IP helper-address[vrf] A.B.C.D	刪除一個介面的DHCP伺服器位址

  25.2.3  配置DHCP option dot1x

通過理解DHCP Relay Agent Information的描述可知，在網路如果需要根據使用者權限的不同而給使用者指派不同許可權IP時，我們就可以通過配置ip dhcp relay information option dot1x來配置開啟DHCP relay的option dot1x功能，當開啟此功能時，裝置在進行relay時就會結合802.1x添加對應的option資訊到伺服器，配置此功能時需要和dot1x功能結合使用。

在全域配置模式下，請按如下步驟配置DHCP option dot1x：

命令	作用
Ruijie(config)# ip dhcp relay information option dot1x	啟用DHCP option dot1x功能
Ruijie(config)# no ip dhcp relay information option dot1x	關閉DHCP option dot1x功能。

  25.2.4  配置DHCP option dot1x access-group

在option dot1x的應用方案中，需要裝置控制未認證或低許可權的IP只有訪問特定的一些IP地址的許可權，以及限制低許可權使用者之間的互相訪問，此時可以通過配置命令ip dhcp relay information option dot1x access-group acl-name來實現，這裡的acl-name所定義的ACL必須預先配置，用以對某些內容進行過濾，主要是用于禁止未認證使用者之間的互相訪問。另外，這裡所關聯的ACL被應用到裝置所有連接埠上，並且該ACL沒有預設的ACE，與其它介面所關聯的ACL沒有衝突關係，例如：

為未認證的所用使用者規劃一類IP地址，為192.168.3.2-192.168.3.254，192.168.4.2-192.168.4.254，192.168.5.2-192.168.5.254；另外192.168.3.1、192.168.4.1、192.168.5.1作為網關地址，不分配給使用者。則使用者在未認證之前使用192.168.3.x-5.x的地址到達web portal以下載用戶端軟體。因此需要在裝置上配置如下：

Ruijie# config

Ruijie(config)# ip access-list extended DenyAccessEachOtherOfUnauthrize

Ruijie(config-ext-nacl)# permit ip any host 192.168.3.1     

//允許發往網關的報文

Ruijie(config-ext-nacl)# permit ip any host 192.168.4.1

Ruijie(config-ext-nacl)# permit ip any host 192.168.5.1

Ruijie(config-ext-nacl)# permit ip host 192.168.3.1 any  

//允許源IP地址為網關的報文通訊

Ruijie(config-ext-nacl)# permit ip host 192.168.4.1 any

Ruijie(config-ext-nacl)# permit ip host 192.168.5.1 any

Ruijie(config-ext-nacl)# deny ip 192.168.3.0 0.0.0.255 192.168.3.0 0.0.0.255     

//禁止未認證使用者相互訪問

Ruijie(config-ext-nacl)# deny ip 192.168.3.0  0.0.0.255  192.168.4.0  0.0.0.255

Ruijie(config-ext-nacl)# deny ip 192.168.3.0  0.0.0.255  192.168.5.0  0.0.0.255

Ruijie(config-ext-nacl)# deny ip 192.168.4.0  0.0.0.255  192.168.4.0  0.0.0.255

Ruijie(config-ext-nacl)# deny ip 192.168.4.0  0.0.0.255  192.168.5.0  0.0.0.255

Ruijie(config-ext-nacl)# deny ip 192.168.5.0  0.0.0.255  192.168.5.0  0.0.0.255 

Ruijie(config-ext-nacl)# deny ip 192.168.5.0  0.0.0.255  192.168.3.0  0.0.0.255 

Ruijie(config-ext-nacl)# deny ip 192.168.5.0  0.0.0.255  192.168.4.0  0.0.0.255 

Ruijie(config-ext-nacl)# exit

然後再使用命令ip dhcp relay information option dot1x access-group

DenyAccessEachOtherOfUnauthrize 把命令應用全域介面上

在全域配置模式下，請按如下步驟配置DHCP option dot1x access-group：

命令	作用
Ruijie(config)# ip dhcp relay information option dot1x access-group acl-name	應用DHCP option dot1x acl
Ruijie(config)# no ip dhcp relay information option dot1x access-group acl-name	取消DHCP option dot1x acl的應用。

25.2.5  配置DHCP option 82

當配置命令ip dhcp relay information option82命令時，裝置就會在DHCP relay的過程中添加如理解DHCP Relay Agent Information中所述格式的option到伺服器。

在全域配置模式下，請按如下步驟配置DHCP option82：

命令	作用
Ruijie(config)# ip dhcp relay information option82	啟用DHCP option82功能
Ruijie(config)# no ip dhcp relay information option82	關閉DHCP option82功能。

  25.2.6  配置DHCP relay check server-id

當配置命令ip dhcp relay check server-id後，裝置在收到DHCP relay時就會去解析DHCP SERVER-ID option，如果此選項不為空白，則只對此server發送請求，而不對其他配置的伺服器發送請求。

在全域配置模式下，請按如下步驟配置DHCP relay check server-id 功能：

命令	作用
Ruijie(config)# ip dhcp relay check server-id	啟用DHCP relay check server-di功能
Ruijie(config)# no ip dhcp relay check server-id	關閉DHCP relay check server-id功能。

  25.2.7  配置DHCP relay suppression

當配置命令ip dhcp relay suppression後，配置了DHCP realy suppression的介面不把收到的DHCP 廣播請求轉為單播relay出去，而對於連接埠收到的廣播報文的正常廣播轉寄不做抑制。

在介面配置模式下，請按如下步驟功能：

命令	作用
Ruijie(config-if)# ip dhcp relay suppresson	啟用DHCP relay suppresson功能
Ruijie(config-if)# no ip dhcp relay suppresson	關閉DHCP relay suppresson功能。

  25.2.8  DHCP配置執行個體

如下命令開啟了dhcp relay功能、添加了兩組伺服器位址的例子：

Ruijie# configure  terminal

Ruijie(config)# service dhcp                  //開啟dhcp relay功能

Ruijie(config)# ip helper-address 192.18.100.1  //添加全域伺服器位址

Ruijie(config)# ip helper-address192.18.100.2      //添加全域伺服器位址

Ruijie(config)# interface GigabitEthernet 0/3

Ruijie(config-if)# ip helper-address 192.18.200.1  //添加介面伺服器位址

Ruijie(config-if)# ip helper-address 192.18.200.2  //添加介面伺服器位址

Ruijie(config-if)# end 25.3        配置DHCP relay的其他注意事項

對於二層的網路裝置來說，需要實現跨管理vlan relay功能時就必須開啟option dot1x、動態地址綁定和option82的至少一個功能，否則在二層裝置上只能實現管理vlan的relay功能。 25.3.1  配置DHCP option dot1x需要的注意事項

1.        此命令的實際生效需要在AAA/802.1x相關的配置正確的情況下。

2.        在應用此方案時需要啟用802.1x的DHCP 模式的IP授權。

3.        此命令與dhcp option82命令互斥，不能同時使用。

4.        在啟用了802.1x的DHCP 模式的IP授權的模式下，也會設定MAC + IP的綁定，所以不能與DHCP動態綁定功能不能同時啟用。 25.3.2  配置DHCP option82需要的注意事項

DHCP option82功能於dhcp option dot1x功能互斥，不能同時使用 25.4        顯示DHCP配置

請在特權模式下用show running-config命令顯示DHCP配置。

Ruijie# show running-config

Building configuration...

Current configuration : 1464 bytes

version RG0S 10.1.00(1), Release(11758)(Fri Mar 30 12:53:11 CST 2007 -nprd

hostname Ruijie

vlan 1

ip helper-address 192.18.100.1

ip helper-address 192.18.100.2

ip dhcp relay information option dot1x

interface GigabitEthernet 0/1

interface GigabitEthernet 0/2

interface GigabitEthernet 0/3

no switchport

ip helper-address 192.168.200.1

ip helper-address 192.168.200.2

interface VLAN 1

ip address 192.168.193.91 255.255.255.0

line con 0

exec-timeout 0 0

line vty 0

exec-timeout 0 0

login

password 7 0137

line vty 1 2

login

password 7 0137

line vty 3 4

login

end 25.5        DHCP典型配置用例 25.5.1  跨網段的使用者申請IP上網 25.5.1.1配置要求

1、 要求使用者跨網段可以擷取IP地址進行正常上網；

2、 防止非法的使用者私自設定IP地址進行上網。 25.5.1.2拓撲圖

25.5.1.3分析

DHCP Snooping裝置與DHCP Relay相連的裝置連接埠是普通access口，要求Client可以跨網段自動擷取IP地址進行上網，這就需要DHCP Relay裝置來實現。防止非法使用者私自設定IP地址上網有兩種做法：一種是在全域模式下開啟DAI（動態ARP檢測功能），另一種是在介面模式下配置連接埠地址綁定，並結合arp-check功能來防止非法使用者上網。該用例採用第一種做法。 25.5.1.4配置過程

按上述拓撲圖搭建環境，按下述配置步驟進行配置：

l         DHCP Snooping的配置：

# 開啟DHCP Snooping功能

Ruijie(config)# ip dhcp snooping

# 配置與伺服器相連的Gi0/2為可信任口

Ruijie(config)# interface gigabitEthernet 0/2

Ruijie(config-if)# ip dhcp snooping trust

# 配置Gi0/2為ARP檢測信任口

Ruijie(config-if)# ip arp inspection trust

Ruijie(config-if)# exit

# 啟用指定VLAN的DAI報文檢查功能

Ruijie(config)# ip arp inspection vlan 1

# 配置裝置的IP地址（SVI1）

Ruijie(config)# interface vlan 1

Ruijie(config-if)# ip address 10.2.0.1 255.255.0.0

# 配置到另一個網段（10.1.0.0/16）的靜態路由

Ruijie(config)# ip route 10.1.0.0 255.255.0.0 10.2.1.1

l         DHCP Relay的配置

# 啟用DHCP中繼代理

Ruijie(config)# server dhcp

# 添加一個全域的DHCP伺服器的地址

Ruijie(config)# ip helper-address 10.1.1.1

# 配置與Snooping裝置串連的連接埠的IP地址

Ruijie(config)# interface gigabitEthernet 3/1

Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 10.2.1.1 255.255.0.0

# 配置與Server裝置串連的連接埠的IP地址

Ruijie(config)# interface gigabitEthernet 3/2

Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 10.1.0.1 255.255.0.0

l         DHCP Server上的配置：

# 為串連Relay裝置的連接埠配置IP地址

Ruijie(config)# interface gigabitEthernet 4/1

Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 10.1.1.1 255.255.0.0  

# 啟用DHCP伺服器

Ruijie(config)# service dhcp

# 配置DHCP排斥地址，這些地址不會被分配給用戶端

Ruijie(config)# ip dhcp excluded-address 10.1.1.1 10.1.1.10

# 配置位址集區名並進入位址集區配置模式

Ruijie(config)# ip dhcp pool linwei

# 配置用戶端預設網關

Ruijie(dhcp-config)# default-router 10.2.1.1

# 配置DHCP位址集區的網路號和掩碼

Ruijie(dhcp-config)# network 10.2.0.0  255.255.0.0

# 配置到另一個網段（10.2.0.0/16）的靜態路由

Ruijie(config)# ip route 10.2.0.0  255.255.0.0  10.1.0.1