H3C系列交换机在DHCP Snooping实现上的差异说明

CMW V3和CMW V5平台在DHCP Snooping实现上的区别说明

一、       组网：

1. CMW V3交换机的组网，在DHCP Server和Relay设备之间采用S5100作为DHCP-Snooping设备

2. CMW V5交换机的组网，在DHCP Server和Relay设备之间采用S5510作为DHCP-Snooping设备

  

二、       问题描述：

  针对组网1，S5100上启用DHCP-Snooping时，PC获取不到IP地址，不启用DHCP-Snooping时，则可以获取到IP地址。

  针对组网2，S5510上不管是否启用DHCP-Snooping， PC都可以正常获取到IP地址。

三、       过程分析：

同样的组网情况，为何会有这样的差别呢？关键原因在于CMW V3和CMW V5上在DHCP-Snooping 的实现有所不同。我们知道DHCP-Snooping 会通过监听DHCP-Request和DHCP-ACK报文来获得用户从DHCP Server获取的IP和MAC地址。CMW V3出于安全考虑，会对处理的DHCP-Request报文作检查，如果报文前后的MAC地址不一致(如下图所示，报文源MAC和BootP协议报文中的Client MAC不一致)，则不会记录到DHCP-Snooping表项。紧接着处理Server返回的DHCP-ACK报文时由于没有对应的表项就会被丢弃。

这样在组网1中启用DHCP-Snooping的情况下由于DHCP relay在中继PC的Request报文时，会修改报文的源MAC而导致DHCP Snoping设备检查不合格，从而导致PC获取IP地址失败，而像S5510这样的CMW V5系列产品使能DHCP-Snooping时不做MAC地址一致性检查，所以组网2中启用DHCP-Snooping时，PC可以获取到IP地址。

四、       解决方法：

在正常情况下DHCP-Snooping应用在DHCP Relay与Client之间，而不是应用在DHCP Server与DHCP Relay之间，不建议用户采用此种组网方式。如果非要采取此种组网方式，请使用CMW V5交换机，如S3610，S5510等。