我們知道DHCP協(xié)議是網(wǎng)絡(luò)中管理IP分配的協(xié)議，不少網(wǎng)絡(luò)結(jié)構(gòu)中都有其應(yīng)用。前面我們對(duì)DHCP Relay的基本概念和意義都做了介紹。對(duì)于這部分知識(shí)我們這次針對(duì)的就是配置內(nèi)容?，F(xiàn)在讓我們看一下本次講解的網(wǎng)絡(luò)環(huán)境是如何的吧。

功能需求及組網(wǎng)說(shuō)明

利用DHCP Relay進(jìn)行IP、MAC地址綁定配置

『配置環(huán)境參數(shù)』

1.PC1的IP地址為10.1.1.2/24，MAC地址為000f-1fb8-fcb8

2.PC1連接到交換機(jī)的以太網(wǎng)端口0/1，屬于VLAN10

3.網(wǎng)關(guān)在三層交換機(jī)SwitchA上，地址為10.1.1.1/24

『組網(wǎng)需求』

在交換機(jī)上對(duì)PC1進(jìn)行IP+MAC+Port的綁定，使得在交換機(jī)的端口0/1下，只允許PC1這一臺(tái)PC機(jī)上網(wǎng)

2數(shù)據(jù)配置步驟

『利用DHCP Relay進(jìn)行地址綁定配置流程』

當(dāng)PC機(jī)進(jìn)行DHCP獲取IP地址的過(guò)程時(shí)，作為DHCP Relay的交換機(jī)會(huì)記錄PC機(jī)的MAC地址，以及DHCP Server所分配給PC機(jī)的IP地址，同時(shí)建立一個(gè)動(dòng)態(tài)的DHCP Relay Security表項(xiàng)。因此，可以利用這一特性，在交換機(jī)上采用DHCP Relay Security命令，來(lái)手工添加PC機(jī)的IP地址和MAC地址表項(xiàng)，同時(shí)使能交換機(jī)的DHCP Relay安全特性，來(lái)達(dá)到靜態(tài)地址綁定的目的。

【SwitchA相關(guān)配置】

1.創(chuàng)建（進(jìn)入）VLAN10

[SwitchA]vlan 10 

2.將E0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1 

3.創(chuàng)建（進(jìn)入）VLAN接口10

[SwitchA]interface Vlan-interface 10 

4.為VLAN接口10配置IP地址

[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0 

5.為VLAN接口10配置一個(gè)假設(shè)的DHCP服務(wù)器地址

[SwitchA-Vlan-interface10]ip relay address 1.1.1.1 

6.使能VLAN接口10對(duì)用戶(hù)地址合法性檢查的DHCP Relay的安全特性

[SwitchA-Vlan-interface10]dhcp relay security address-check enable 

7.配置DHCP Relay的安全地址表項(xiàng)

[SwitchA]dhcp relay security 10.1.1.2 000f-1fb8-fcb8 static 

【補(bǔ)充說(shuō)明】

經(jīng)過(guò)以上配置，可以完成將PC1的IP地址與MAC地址的靜態(tài)綁定功能。

如果要完成交換機(jī)的端口0/1下，只允許IP地址為10.1.1.2，MAC地址為000f-1fb8-fcb8的PC1上網(wǎng)，使用其他IP地址或者M(jìn)AC地址的PC機(jī)均無(wú)法通過(guò)端口0/1上網(wǎng)的需求，還需要手工將PC1的MAC地址靜態(tài)綁定到端口0/1上，同時(shí)在端口0/1上配置端口最大MAC地址學(xué)習(xí)數(shù)目為0：

[SwitchA]mac-address static 000f-1fb8-fcb8 interface Ethernet 0/1 vlan 10  
[SwitchA]interface Ethernet 0/1  
[SwitchA-Ethernet0/1]mac-address max-mac-count 0 

如果要完成只允許PC1通過(guò)端口0/1上網(wǎng)，則需要將交換機(jī)上其他端口分別與其他PC機(jī)進(jìn)行MAC地址綁定。

支持上述功能的設(shè)備具體型號(hào)有：S3526/F、S3528P/G、S3552P/G/F。