分类: 系统运维
2013-02-19 17:16:01
原文地址:Cisco 3550做dns中继 作者:network527
细节问题:
1.3550默认对所有dhcp广播不信任,就是关闭dhcp
是加以下命令开启:
3550(config)#int 30
3550(config)# dhcp relay information trusted
2.如果2950刚开机,fa 0/1接口一般要在30秒后才起来,而客户端的dhcp从0.0.0.0到255.255.255.255发
起广播包,在这个时间段得不到响应,就会取不到ip,加快spanning tree收敛时间
2950(config)#int fa 0/1
2950(config)#spanning tree fast
3.dhcp工作原理:
走UDP协议
客户机通过UDP 67端口 广播 DHCPDISCOVER包,范围从0.0.0.0-255.255.255.255.
服务器收到包后,通过 UDP 68端口 返回客户机DHCPOFFER广播包,提供一个ip地址
如果有多个DHCP服务器,会采用第一个被客户收到DHCPOFFER包的服务器,并 广播包DHCPREQUEST,
表示已经接受一个dhcp请求,包中包含所接受的ip地址与服务器的ip地址,当服务器接到DHCPREQUEST包后
,会广播DHCPACK包,表示接受客户请求,包中包含合法的ip等信息,客户收到 DHCPACK包,会用包中的信
息配置自己的参数!
因为以上的原因,用了acl后,要想跨 vlan的客户机能取的ip,就必须在acl做以下设定:
permit udp any any eq 67
permit udp any any eq 68
4.启用DHCP中继代理:
()Service Dhcp
Switch(Config)Ip Dhcp Relay Information Option
5.指定dhcp服务器
Switch(Config)Int Vlan 40
Switch(Config-vlan)Ip Helper-address 192.168.5.10
配置命令及步骤如下:
第一步:创建VLAN:
Switch>Vlan Database
Switch(Vlan)>Vlan 20 Name vlan20
Switch(Vlan)>Vlan 30 Name vlan30
第 二步:启用DHCP中继代理:
/*关键一步,若缺少以下两条命令,在VLAN中使用“IP HELPER-ADDRESS DHCP服务器地址”指定DHCP服务器,客户机仍然不能获得IP地址*/
Switch>Enable
Switch#Config t
Switch(Config)Service Dhcp
Switch(Config)Ip Dhcp Relay Information Option
第三步:设置VLAN IP地址:
Switch(Config)>Int Vlan 1
Switch(Config-vlan)Ip Address 192.168.5.254 255.255.255.0
Switch(Config-vlan)No Shut
Switch(Config-vlan)>Int Vlan 30
Switch(Config-vlan)Ip Address 192.168.30.254 255.255.255.0
Switch(Config-vlan)No Shut
Switch(Config-vlan)>Int Vlan 20
Switch(Config-vlan)Ip Address 192.168.20.254 255.255.255.0
Switch(Config-vlan)No Shut
Switch(Config-vlan)Exit
第四步:设置2950的24口和3550的48 口为trunk模式
2950(Config)#int fa 0/24
2950(Config)#switch mode access
2950(Config)#switch mode trunk
3550(config)# int fa 0/48
3550(config)#switch mode access
3550(config)#switch trunk en dot1q
3550(config)#switch mode trunk
第五步:将端口添加到VLAN20,30中
2950(Config)#int fa 0/1
2950(Config)#switch mode access
2950(Config)#swithc access vlan 20
2950(Config)#int fa 0/2
2950(Config)#switch mode access
2950(Config)#swithc access vlan 30
2950(Config)#int fa 0/3
2950(Config)#switch mode access
2950(Config)#swithc access vlan 40
/*经过这一步后,各VLAN会起来*/
第 六步:在VLAN20和30中设定DHCP服务器地址
/*VLAN 1中不须指定DHCP服务器地址*/
Switch(Config)Int Vlan 30
Switch(Config-vlan)Ip Helper-address 192.168.5.10
Switch(Config)Int Vlan 20
Switch(Config-vlan)Ip Helper-address 192.168.5.10
第 七步:使用acl控制vlan间访问: vlan1-vlan30,vlan1-vlan20,vlan20与vlan30不可以互访
确保所有vlan可以访问服务器vlan,否则不可以成功通过dhcp获得ip地址
3550(Config)#ip access-list extended vlan
3550(Config)#permit ip 192.168.30.0 0.0.0.255 192.168.5.0 0.0.0.255
3550(Config)#permit ip 192.168.20.0 0.0.0.255 192.168.5.0 0.0.0.255
3550(Config)#permit ip 192.168.5.0 0.0.0.255 192.168.20.0 0.0.0.255
3550(Config)#permit ip 192.168.5.0 0.0.0.255 192.168.30.0 0.0.0.255
3550(Config)#permit ip 192.168.5.0 0.0.0.255 192.168.5.0 0.0.0.255
3550(Config)#permit ip 192.168.30.0 0.0.0.255 192.168.5.0 0.0.0.255
---允许udp的67和68口通过,以便取客户端取通过dhcp取的ip
3550(Config)# permit udp any any eq 67
3550(Config)# permit udp any any eq 68
第八步:将acl应用到vlan中
3550(Config)#int vlan 1
3550(Config)#ip access-group vlan in
3550(Config)#int vlan 30
3550(Config)#ip access-group vlan in
3550(Config)#int vlan 20
3550(Config)#ip access-group vlan in
第八步:保存配置
Switch(Config-vlan)End
Switch#Copy Run Start
