DHCP

1.DHCP策略VLAN

DHCP策略VLAN分为三种类型，优先级由高至低依次为：基于MAC地址的DHCP策略VLAN，基于接口的DHCP策略VLAN，普通的DHCP策略VLAN。
1.配置DHCP策略VLAN

[SwitchB]vlan 10
[SwitchB]ip-subnet-vlan 1 ip 10.10.10.1 255.255.255.0   #设置IP地址为10.10.10.1/24的报文，在vlan10域内转发
[SwitchB]dhcp policy-vlan mac-address 0081-01fa-2134    #配置基于MAC地址DHCP策略VLAN，
                                                        使得拥有此MAC的新主机通过DHCP服务器获取到合法地址
[SwitchB]vlan 20
[SwitchB-vlan20]ip-subnet-vlan 1 ip 10.10.20.1 255.255.255.0
[SwitchB-vlan20]dhcp policy-vlan port Ethernet 0/0/3    #配置基于端口DHCP策略VLAN，
                                                        使得接入此接口的新主机通过DHCP服务器获取到合法地址
[SwitchB]int Ethernet 0/0/2
[SwitchB-Ethernet0/0/2]port hybrid untagged vlan 10
[SwitchB-Ethernet0/0/2]ip-subnet-vlan enable            #开启基于子网划分VLAN功能
 
[SwitchB]int Ethernet 0/0/3
[SwitchB-Ethernet0/0/2]port hybrid untagged vlan 20
[SwitchB-Ethernet0/0/2]ip-subnet-vlan enable            #开启基于子网划分VLAN功能

在SwitchC上配置普通的DHCP策略VLAN功能 
[SwitchC]vlan 30 
[SwitchB vlan 30]ip-subnet-vlan ip 10.10.30.1.24 
[SwitchB vlan 30]dhcp policy-vlan generic //配置普通的DHCP策略VLAN功能 
[SwitchB vlan 30]quit

2.基本DHCP配置

在路由器R1上启用全局DHCP服务，请将下面配置代码补充完整
[R1] dhcp enable
[R1] interface GigabitEthernet0/0/1.1 //进入G0/0/1.1子接口视图
[R1-GigabitEthernet0/0/1.1] dhcp (select) global //接口工作在全局地址池模式
[R1-GigabitEthernet0/0/1.1] quit
[R1] interface GigabitEthernet0/0/3
[R1-GigabitEthernet0/0/3] ip address 202.112.20.1 255.255.255.252
[R1-GigabitEthernet0/0/1.1] quit

• 配置限制每个端口只能学习1个终端设备的MAC地址，具体如下：

interface GigabitEthernet 0/0/1
port-security enable
port-security-mac-num mac-number 1

• DHCP客户端只需配置启用DHCP服务即可，无需配置正确的服务器地址就可以使用DHCP服务
• 同一子网中，DHCP服务并无数量限制
• 网络运行中，经常出现网络终端获取到非规划的私有地址而导致无法上网和IP地址冲突的情况。请分析出现这两种现象的原因，并给出解决方案。
  原因：DHCP Server的冒充以及DHCP Server的拒绝服务攻击。
  解决方案：部署DHCP snooping，防止仿冒DHCP服务器攻击DHCP Snooping也就是DHCP监听将交换机端口划分为两类:
  非信任端口：通常为连接终端设备的端口，如用户主机等
  信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口通过开启DHCP监听特性，信任端口可以接收所有的DHCP报文。

domain-name aa.com // 配置为DHCP客户端分配的域名后缀为aa.com
display ip pool name ip-pool10 //显示地址池ip-pool10的配置信息