交换机问题了
- 0关注
- 0收藏,471浏览
问题描述:
[H3C]dis cu # version 7.1.045, Release 1109 # sysname H3C # telnet server enable # irf mac-address persistent timer irf auto-update enable undo irf link-delay irf member 1 priority 1 # dhcp enable dhcp server forbidden-ip 172.19.1.1 172.19.1.20 dhcp server forbidden-ip 172.19.1.233 dhcp server forbidden-ip 172.19.1.240 172.19.1.254 dhcp server forbidden-ip 172.19.2.1 172.19.2.20 dhcp server forbidden-ip 172.19.2.240 172.19.2.254 dhcp server forbidden-ip 172.19.3.1 172.19.3.20 dhcp server forbidden-ip 172.19.3.240 172.19.3.254 dhcp server forbidden-ip 172.19.4.244 172.19.4.254 dhcp server forbidden-ip 172.19.5.244 172.19.5.254 dhcp server forbidden-ip 172.19.6.244 172.19.6.254 dhcp server forbidden-ip 172.19.7.244 172.19.7.254 # mirroring-group 1 local # lldp global enable # password-recovery enable # vlan 1 # vlan 50 # vlan 70 # vlan 90 # vlan 100 # vlan 111 # vlan 139 # vlan 180 to 188 # vlan 190 to 198 # vlan 201 to 202 # vlan 1019 # stp global enable # dhcp server ip-pool vlan191 gateway-list 172.19.1.1 network 172.19.1.0 mask 255.255.255.0 dns-list 10.139.0.3 218.104.111.122 expired day 0 hour 12 minute 30 # dhcp server ip-pool vlan192 gateway-list 172.19.2.1 network 172.19.2.0 mask 255.255.255.0 dns-list 10.139.0.3 218.104.111.122 expired day 0 hour 12 minute 30 # dhcp server ip-pool vlan193 gateway-list 172.19.3.1 network 172.19.3.0 mask 255.255.255.0 dns-list 10.139.0.3 218.104.111.122 expired day 0 hour 12 minute 30 # dhcp server ip-pool vlan194 gateway-list 172.19.4.1 network 172.19.4.0 mask 255.255.255.0 dns-list 10.139.0.3 218.104.111.122 expired day 0 hour 12 minute 这样的配置,但交换机还是会给172.18.7.0/24网段的回复dhcp请求,这个正常吗
- 2025-04-14提问
- 举报
-
(0)
最佳答案
你这个现象——交换机配置了 dhcp server forbidden-ip,但仍然对 172.18.7.0/24 网段的地址请求做出回应 —— 在某些情况下是正常的,取决于你配置的 IP 池范围和 DHCP 请求内容。我们来逐步分析下:
✅ 一、你当前的 DHCP 配置里,只配置了哪些 IP 池?
你贴出来的 display current-configuration 中只包含了对如下网段的 DHCP IP池配置:
172.19.1.0/24
172.19.2.0/24
172.19.3.0/24
172.19.4.0/24
没有看到有 172.18.7.0/24 的相关配置。
所以,交换机不应该主动为 172.18.7.x 分配地址 —— 前提是:
没有默认池(default pool)、没有 relay 配置、没有其他隐藏的匹配逻辑。
❓ 二、交换机回复了 DHCP 请求,具体回复了什么?
这个很关键:你说“回复了 DHCP 请求”,需要明确是:
-
是否真的分配了一个
172.18.7.x的地址? -
还是只是发了一个
DHCP NAK或者别的信息(比如 Option 43 回应)?
有时候 DHCP client 发起请求,交换机会回应一个 DHCP NAK(表示该地址不属于合法池),这也是“回应”但不是“分配”。
你可以在客户端或抓包工具上看看交换机具体回了什么内容 —— 如果是 NAK,那是正常行为。
🧠 三、DHCP 配置机制背后的细节:
华三交换机的 DHCP 工作机制(server 模式)大致如下:
1. 默认情况下,交换机会根据 客户端网段(GIADDR 或 VLAN 接口 IP) 来匹配 DHCP 地址池。
-
如果某个接口(比如 VLAN 接口)启用了
ip address 172.19.1.1/24,那么只有 DHCP Discover 来自这个接口,才会被匹配到vlan191这个池。 -
如果是一个没有地址池匹配的请求,默认是 不会回应的。
2. 你使用了 dhcp server forbidden-ip 只是限制了 不允许分配这些 IP 段中的地址,但它不会阻止设备回应请求,只是不会从这些段里分配。
3. 特别注意:是否启用了 dhcp server global-pool?
如果你在其他地方启用了:
dhcp server global-pool enable
或者某个 VLAN 接口里没有明确绑定地址池,而默认启用了全局池,交换机就有可能做出非预期的回应。
✅ 建议你检查以下内容:
-
有没有配置其他 DHCP 池支持
172.18.x.x段?display dhcp server ip-in-use display dhcp server statistics display dhcp server ip-pool verbose -
查看是否启用了 global-pool 或者 relay 配置?
display current-configuration | include dhcp -
查看实际回应了什么内容? 抓 DHCP 报文看看是否是:
-
DHCP OFFER(说明真的分配地址了) -
还是
DHCP NAK或DHCP INFORM的回应
-
✅ 小结
| 项目 | 是否正常 | 说明 |
|---|---|---|
未配置 172.18.7.0/24 地址池,交换机回应 DHCP 请求 |
有可能是 NAK,属于正常行为 | 需抓包确认回应类型 |
配置了 forbidden-ip,仍然回应 |
允许回应但不分配 forbidden 段 IP | 这是设计行为 |
| 想彻底不回应某段请求 | 建议用 ACL 或 DHCP snooping | 或使用 forbidden-subnet |
- 2025-04-14回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论