前面我們對一部分的dhcp relay配置進(jìn)行了講解，大家應(yīng)該也有了一定的掌握了。那么這里我們主要在介紹一下其中的dhcp relay握手功能以及禁止vlan幾口上的安全問題。那么這兩方面的配置是如何完成呢的？

◆使能/禁止vlan接口上的dhcp安全特性

當(dāng)客戶端通過dhcp中繼從dhcp服務(wù)器獲取到ip地址時(shí)，dhcp中繼會記錄ip地址與mac地址的綁定關(guān)系。用戶也可以手工配置用戶地址表項(xiàng)，即ip地址與mac地址的靜態(tài)綁定。

為了防止非法用戶靜態(tài)配置一個(gè)ip地址，并訪問其他網(wǎng)絡(luò)，設(shè)備支持dhcp中繼安全特性。使能vlan接口上的dhcp安全特性將啟動vlan接口下用戶地址合法性的檢查，如果用戶配置的ip地址與用戶的mac地址的對應(yīng)關(guān)系沒有在dhcp中繼的用戶地址表中（包括dhcp中繼動態(tài)記錄的表項(xiàng)以及手工配置的用戶地址表項(xiàng)），則dhcp中繼將不允許該用戶訪問外部網(wǎng)絡(luò)。

請?jiān)趘lan接口視圖下進(jìn)行下列配置。 

缺省情況下，vlan接口上的dhcp安全特性為關(guān)閉狀態(tài)。

使能了vlan接口上的dhcp安全特性后，將導(dǎo)致已經(jīng)申請到ip地址的客戶端無法獲得訪問權(quán)限，需要客戶端重新申請ip地址，建議管理員在沒有用戶獲得ip地址前進(jìn)行該配置！

◆開啟dhcp relay握手功能

當(dāng)dhcp客戶端通過dhcp中繼從dhcp服務(wù)器獲取到ip地址時(shí)，dhcp中繼會記錄ip地址與mac地址的綁定關(guān)系。當(dāng)交換機(jī)上使能了dhcp relay握手功能后，dhcp relay將根據(jù)綁定關(guān)系中的ip地址和自己的mac地址，定時(shí)向dhcp server端發(fā)送握手報(bào)文（dhcp-request報(bào)文）。

如果dhcp服務(wù)器響應(yīng)dhcp-ack報(bào)文，則表明這個(gè)ip地址已經(jīng)可以進(jìn)行分配，dhcp中繼會將動態(tài)用戶地址表中對應(yīng)的表項(xiàng)老化掉；

如果dhcp服務(wù)器響應(yīng)dhcp-nak報(bào)文，則表示該ip地址的租約仍然存在，dhcp中繼不會老化該ip地址對應(yīng)的表項(xiàng)；

如果dhcp服務(wù)器沒有響應(yīng)dhcp中繼的握手報(bào)文，dhcp 中繼會繼續(xù)給這個(gè)綁定關(guān)系握手，當(dāng)3次不能收到回應(yīng)時(shí)，認(rèn)為這個(gè)ip地址已經(jīng)可以進(jìn)行分配，dhcp中繼將動態(tài)用戶地址表中對應(yīng)的表項(xiàng)老化掉；

當(dāng)交換機(jī)上禁止了dhcp relay握手功能后，dhcp relay不會定時(shí)向dhcp server端發(fā)送握手報(bào)文（dhcp-request報(bào)文），導(dǎo)致用戶安全表項(xiàng)不斷增加，將占用大量系統(tǒng)資源，請慎重使用！

當(dāng)dhcp客戶端釋放該ip地址時(shí)，會發(fā)送單播dhcp-release報(bào)文給dhcp服務(wù)器；而dhcp中繼不會處理該報(bào)文，造成dhcp中繼的用戶地址項(xiàng)不能被實(shí)時(shí)刷新。