DHCP故障问题汇总

混沌骑士

DHCP
12.1  在DHCP地址池视图下配置客户端MAC地址与IP地址的静态绑定，需要注意什么？
在DHCP地址池视图下执行命令static-bind ip-address ip-address [ mask-length | mask mask ] hardware-address hardware-address [ ethernet | token-ring ] }

需要注意的是，配置静态绑定时，必须确保绑定的MAC地址与实际用户的MAC地址保持一致，并且配置的MAC地址必须是有效的MAC地址（MAC地址为4～39个字符的字符串，字符串中只能包括十六进制数和“-”，且形式为H-H-H…，除最后一个H表示2位或4位十六进制数外，其他均表示4位十六进制数。例如：aabb-cccc-dd为有效的客户端硬件地址，aabb-c-dddd和aabb-cc-dddd为无效的客户端硬件地址。）。

12.2  指定接口引用不存在的DHCP策略会怎样？
执行命令dhcp policy policy-name创建DHCP策略，并在指定接口下执行dhcp apply-policy policy-name命令引用该策略后，该接口接收到DHCP请求报文时，则根据配置顺序逐个匹配DHCP策略中通过class ip-pool命令指定的DHCP用户类，如果接收DHCP请求报文的接口引用的DHCP策略不存在或匹配的DHCP用户类关联的DHCP地址池不存在时，IP地址和其他参数分配会失败。

12.3  地址池IP网段范围规划小了会发生什么？
如果可供分配的IP网段范围过小，会导致动态分配的IP地址范围内没有空闲地址，DHCP服务器无法为剩余的DHCP客户端分配地址，因此建议用户合理规划IP网段范围，保证所有客户端都能获取到IP地址。

12.4  配置DHCP Snooping之后，下挂用户无法获取IP地址
缺省情况下，在开启DHCP Snooping功能后，设备上所有支持DHCP Snooping功能的端口均为不信任端口。如图12-1，需要通过dhcp snooping trust命令将连接DHCP服务器的端口设置为信任端口，并且设置的信任端口与DHCP客户端相连的端口必须在同一个VLAN内，以便DHCP Snooping设备正常转发DHCP服务器的应答报文，保证DHCP客户端能够从合法的DHCP服务器获取IP地址。

图12-1 信任端口和非信任端口

                               
登录/注册后可看大图

12.5  私网客户端申请IP地址时，作为DHCP服务器的V5设备和V7设备配置上有何不同？
对于处于VPN私网中的客户端申请IP地址，若V5设备作为DHCP服务器，不需要在DHCP地址池下绑定VPN实例，客户端就可以获取到IP地址。但当V7设备作为DHCP服务器时，需要在相应地址池中配置绑定对应的VPN实例。例如位于VPN实例abc中的客户端申请IP地址时，需要在DHCP服务器上对应的DHCP地址池视图下执行vpn-instance abc命令来绑定VPN实例abc，原因是DHCP服务器可以将网络划分成公网和VPN私网，未配置VPN属性的地址池被划分到公网，配置了VPN属性的地址池被划分到相应的VPN私网，这样服务器就可以更好的选择合适的地址池来为客户端分配租约并且记录该客户端的状态信息。

12.6  配置DHCP服务器或DHCP中继生效的前提是什么?
只有在系统视图下执行dhcp enable命令后，DHCP服务器或DHCP中继配置才能生效。

12.7  记录DHCP客户端IP地址与MAC地址的对应关系，缺省是开启的吗？
缺省情况下，DHCP Snooping表项记录功能处于关闭状态，如果有其他特性（例如IP Source Guard）打算利用这些表项信息，可以在系统视图、VLAN视图、VSI视图或接口视图下执行dhcp snooping binding record命令生成DHCP Snooping安全表项。需要注意的是，不同产品系列支持开启DHCP snooping功能和表项记录功能的视图不同，请以设备实际情况为准。

12.8  重新指定地址池动态分配的IP地址范围时，应该注意什么？
在DHCP地址池视图下，使用address range命令修改已存在的动态分配的IP地址范围时，新的IP地址范围需要覆盖之前该DHCP地址池已分配出去的IP地址，否则系统会提示配置错误。如果用户仍然打算继续配置，需要使用reset dhcp server ip-in-use命令释放分配的地址租约后，再进行address range命令配置。

12.9  DHCP Snooping的信任端口和非信任端口设置在什么位置上？
网络中如果存在私自架设的非法DHCP服务器，则可能导致DHCP客户端获取到错误的IP地址和网络配置参数，从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口。

在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口，其他端口设置为不信任端口，从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。

12.10  交换机作为DHCP服务器，如何配置才能使网络中的设备获得固定IP或不与已有IP地址的设备发生地址冲突？
交换机作为DHCP服务器为客户端分配IP地址，如果想让某客户端获得固定IP地址，而不是随机获取IP地址。可以在DHCP地址池视图下，使用static-bind ip-address命令配置该客户端的静态地址绑定。当客户端申请IP地址时，服务器会根据客户端的客户ID或MAC地址分配固定的IP地址。例如，在DHCP地址池0中配置为客户端ID为00aa-aabb的客户端，固定分配IP地址10.1.1.1/24。

<Sysname> system-view

[Sysname] dhcp server ip-pool 0

[Sysname-dhcp-pool-0] static-bind ip-address 10.1.1.1 mask 255.255.255.0 client-identifier 00aa-aabb

如果网络中的设备（如网关、FTP服务器）已占用了DHCP服务器的地址池中的IP地址，为避免DHCP服务器把这些IP地址分配出去，引起IP地址冲突。请在作为DHCP服务器的设备的系统视图下，使用dhcp server forbidden-ip命令配置全局不参与自动分配的IP地址；或在DHCP地址池视图下，使用forbidden-ip命令配置地址池中不参与自动分配的IP地址。

12.11  为什么在DHCP snooping组网下，DHCP服务器的部分地址无法分配？
DHCP Snooping会记录客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息，并生成绑定表。一些安全特性会利用此绑定表实现相应的安全功能，如IP Source Guard。

当DHCP Snooping设备上已经存在绑定表，且有MAC地址相同的客户端上线申请IP地址时，由于相关安全特性，设备无法区分是合法用户还是非法用户仿冒合法用户，所以DHCP Snooping设备不会修改已有的绑定表，从而导致客户端无法获得IP地址。可以通过删除DHCP Snooping设备上的绑定表解决。

mawr1985

kings6066

感谢分享，谢谢提供资料的好心人。

qiaosanfeng

感谢分享，谢谢提供资料的好心人。

qiaosanfeng