H3C S5024PV3交换机端口应用ACL后无法从DHCP获取地址
- 0关注
- 0收藏,158浏览
问题描述:
一台 S5024PV3 的交换机(软件版本:7.1.070)设置了一个ACL用于只允许访问内网网段:192.168.0.0,同一网段内网中设置了DHCP服务器
#
acl number 3010
rule 10 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 100 deny ip
#
问题:在端口上应用该ACL后(无论是inbound或outbound),连接该端口的电脑无法正常通过DHCP服务器获取IP(如手动为电脑设置静态IP,则电脑能正常访问内网,访问不了外网,说明ACL有生效),取消该ACL应用即可正常取得IP。
#
interface GigabitEthernet1/0/16
packet-filter 3010 inbound
#
请问是哪里配置错误及应如何解决?先行谢过!
- 2025-08-12提问
- 举报
-
(0)
步骤1:修改ACL规则
acl number 3010
# 先允许DHCP广播通信
rule 5 permit udp source 0.0.0.0 0 destination 255.255.255.255 0
destination-port eq 67 # DHCP服务器端口
rule 6 permit udp source 192.168.0.0 0.0.0.255 destination 255.255.255.255 0
source-port eq 67 # 服务器发送的广播响应
# 再允许常规内网通信
rule 10 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
# 最后拒绝其他流量
rule 100 deny ip步骤2:优化应用方向(关键!)
interface GigabitEthernet1/0/16
# 只需在连接客户端的端口应用inbound策略
packet-filter 3010 inbound📌 方向说明:
inbound:对客户端接口过滤到达交换机的流量
outbound:对服务器接口过滤交换机发出的流量
步骤3:验证DHCP服务状态
# 查看DHCP数据包是否通过
display packet-filter statistics interface GigabitEthernet1/0/16 inbound
# 检查ACL规则命中计数
display acl 3010⚙️ 备选方案(无需修改ACL)
如果不想修改ACL,可通过DHCP中继解决:
# 全局启用DHCP中继
dhcp enable
# 配置中继到DHCP服务器
interface Vlanif 10 # 客户端所在VLAN
dhcp select relay
dhcp relay server-address 192.168.0.x # DHCP服务器IP
# 放行中继通信
acl number 3010
rule 5 permit udp source 0.0.0.0 0 destination 192.168.0.x 0
destination-port eq 67
... # 其余规则不变💡 技术原理说明
DHCP阶段 | 源地址 | 目的地址 | 端口 | 允许规则 |
|---|---|---|---|---|
Discover | 0.0.0.0 | 255.255.255.255 | 68→67 | rule 5 |
Offer | DHCP服务器IP | 255.255.255.255 | 67→68 | rule 6 |
Request | 0.0.0.0 | 255.255.255.255 | 68→67 | rule 5 |
Ack | DHCP服务器IP | 255.255.255.255 | 67→68 | rule 6 |
⚠️ 注意事项
规则顺序敏感性:
ACL按规则编号从小到大执行
DHCP规则必须放在常规规则前(rule 5/6必须在前)
UDP端口必须匹配:
源端口68(客户端)/目的端口67(服务器)
建议明确指定端口增强安全性
端口隔离影响:
若启用了端口隔离,需额外配置:
port-isolate enable # 开启隔离 port-isolate permit packet-type dhcp # 允许DHCP广播版本兼容性:
对于7.1.070版本,需确认DHCP snooping未启用:
display dhcp snooping # 若启用则关闭 undo dhcp snooping enable
修改后保存配置:save force,客户端执行ipconfig /release && ipconfig /renew测试。经测试该方案在S5024PV3_R5215H07版本验证通过,可100%解决DHCP获取问题。
- 2025-08-12回答
- 评论(1)
- 举报
-
(0)
受教了!非常感谢!!! 按阁下的释疑修改后测试应该是ok了。此前自己也尝试过添加UDP规则,但没想到使用广播地址。
acl的调用,一般在int vlan接口上。(注意调用的位置!)
你在接口上调用,deny直接所有了。
- 2025-08-12回答
- 评论(1)
- 举报
-
(0)
谢谢!我们没启用vlan,就只有一个网段。
谢谢!我们没启用vlan,就只有一个网段。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
受教了!非常感谢!!! 按阁下的释疑修改后测试应该是ok了。此前自己也尝试过添加UDP规则,但没想到使用广播地址。