按照网上搜索到的教程,设置了内外网接口,地址池,还是无法自动获取IP。能提供详细设置步骤吗?机器已恢复出厂设置
(0)
防火墙 DHCP 拿不到 IP,不只是地址池,缺少 3 个必配项:
全局开启dhcp enable
内网接口加入 Trust 安全域
放通 Trust ↔ Local 域安全策略(防火墙本机 DHCP 服务器属于 Local 域,默认拦截 DHCP 广播报文)
环境规划(通用标准,可按需改网段 / 端口)
内网口:GigabitEthernet 1/0/2(接交换机 / 电脑)
内网网段:192.168.10.0/24,网关 192.168.10.1
DHCP 分配段:192.168.10.100 ~ 192.168.10.200
DNS:223.5.5.5、114.114.114.114
外网口:GigabitEthernet 1/0/1(接光猫 / 运营商)
安全域:内网 Trust、外网 Untrust、防火墙本机 Local
一、完整可复制配置(逐条粘贴)
1. 进入系统视图,基础初始化
plaintext
<H3C>system-view
[H3C]sysname F100-C-G5
# 全局开启DHCP(不开启地址池配置无效)
[F100-C-G5]dhcp enable
2. 配置内网接口 IP(三层路由口)
plaintext
# 内网GE1/0/2
[F100-C-G5]interface GigabitEthernet 1/0/2
[F100-C-G5-GigabitEthernet1/0/2]port link-mode route
[F100-C-G5-GigabitEthernet1/0/2]ip address 192.168.10.1 255.255.255.0
[F100-C-G5-GigabitEthernet1/0/2]undo shutdown
[F100-C-G5-GigabitEthernet1/0/2]quit
3. 配置 DHCP 地址池(核心)
plaintext
# 创建内网地址池lan-pool
[F100-C-G5]dhcp server ip-pool lan-pool
# 分配网段,必须和内网接口IP同网段
[F100-C-G5-dhcp-pool-lan-pool]network 192.168.10.0 mask 255.255.255.0
# 下发网关(内网接口IP)
[F100-C-G5-dhcp-pool-lan-pool]gateway-list 192.168.10.1
# 下发DNS
[F100-C-G5-dhcp-pool-lan-pool]dns-list 223.5.5.5 114.114.114.114
# IP租期1天
[F100-C-G5-dhcp-pool-lan-pool]lease day 1
# 保留静态IP段(1-99不分配给终端)
[F100-C-G5-dhcp-pool-lan-pool]forbidden-ip 192.168.10.1 192.168.10.99
[F100-C-G5-dhcp-pool-lan-pool]quit
4. 接口加入安全域(Trust 内网、Untrust 外网)
plaintext
# Trust域加入内网口
[F100-C-G5]security-zone name Trust
[F100-C-G5-security-zone-Trust]import interface GigabitEthernet 1/0/2
[F100-C-G5-security-zone-Trust]quit
# Untrust域加入外网口(按需配置上网)
[F100-C-G5]security-zone name Untrust
[F100-C-G5-security-zone-Untrust]import interface GigabitEthernet 1/0/1
[F100-C-G5-security-zone-Untrust]quit
5. 关键安全策略(解决拿不到 IP 核心)
防火墙 DHCP 服务器属于Local 域,终端在 Trust 域,跨域报文默认拦截,必须放行双向 DHCP(UDP 67/68)
plaintext
# 进入IPv4安全策略
[F100-C-G5]security-policy ip
# 规则1:Trust→Local 放行DHCP请求(终端发Discover给防火墙)
[F100-C-G5-security-policy-ip]rule 0 name Trust-To-Local-DHCP
[F100-C-G5-security-policy-ip-0-Trust-To-Local-DHCP]source-zone Trust
[F100-C-G5-security-policy-ip-0-Trust-To-Local-DHCP]destination-zone Local
[F100-C-G5-security-policy-ip-0-Trust-To-Local-DHCP]service dhcp
[F100-C-G5-security-policy-ip-0-Trust-To-Local-DHCP]action pass
# 规则2:Local→Trust 放行DHCP回复(防火墙下发IP给终端)
[F100-C-G5-security-policy-ip]rule 1 name Local-To-Trust-DHCP
[F100-C-G5-security-policy-ip-1-Local-To-Trust-DHCP]source-zone Local
[F100-C-G5-security-policy-ip-1-Local-To-Trust-DHCP]destination-zone Trust
[F100-C-G5-security-policy-ip-1-Local-To-Trust-DHCP]service dhcp
[F100-C-G5-security-policy-ip-1-Local-To-Trust-DHCP]action pass
# 可选:内网访问互联网放通策略
[F100-C-G5-security-policy-ip]rule 10 name Trust-To-Untrust-All
[F100-C-G5-security-policy-ip-10-Trust-To-Untrust-All]source-zone Trust
[F100-C-G5-security-policy-ip-10-Trust-To-Untrust-All]destination-zone Untrust
[F100-C-G5-security-policy-ip-10-Trust-To-Untrust-All]action pass
[F100-C-G5-security-policy-ip]quit
6. 保存配置
plaintext
[F100-C-G5]save force
二、Web 界面分步配置(不会命令行用这个)
登录管理页面
电脑直连 GE1/0/2,IP 设 192.168.10.2/24,浏览器打开***.***/B6yek4Ca0K,默认账号 admin/admin。
配置内网接口 IP
网络→接口→三层接口→编辑 GE1/0/2
模式:路由
IP 地址:192.168.10.1 掩码 255.255.255.0,启用接口
全局开启 DHCP
网络→DHCP→全局配置→勾选启用 DHCP 服务器,保存。
新建 DHCP 地址池
网络→DHCP→地址池→新建
名称:lan-pool
网段:192.168.10.0/24
网关:192.168.10.1
DNS:223.5.5.5、114.114.114.114
排除地址:192.168.10.1~192.168.10.99
接口加入安全域
网络→安全域→编辑 Trust→三层成员添加 GE1/0/2;Untrust 添加 GE1/0/1。
放行 DHCP 安全策略(最关键)
策略→安全策略→新建两条规则:
规则 A:源域 Trust、目的域 Local、服务 DHCP、动作允许
规则 B:源域 Local、目的域 Trust、服务 DHCP、动作允许
保存配置,终端刷新网络即可获取 IP。
三、无法获取 IP 故障排查清单(按顺序检查)
1. DHCP 服务基础检查
plaintext
display dhcp server status
# 输出必须显示DHCP server is enabled,否则缺少dhcp enable
display dhcp server ip-pool
# 确认地址池网段、网关和内网接口IP一致
2. 接口与网段校验
plaintext
display ip interface brief
# GE1/0/2必须UP,IP为192.168.10.1/24
3. 安全域与策略检查(最高频故障)
plaintext
display security-zone name Trust
# 确认GE1/0/2在三层成员列表
display security-policy ip rule all | include dhcp
# 必须能看到两条dhcp允许规则
4. 终端侧验证
电脑执行:
plaintext
ipconfig /release
ipconfig /renew
获取到 169.254.x.x:防火墙没回复 DHCP Offer,99% 是安全策略拦截
完全无报错但拿不到地址:地址池网段不匹配、dhcp 未全局开启
5. 其他隐性问题
内网交换机开 DHCP Snooping,上行口未配置dhcp snooping trust;
内网接口配成桥模式(port link-mode bridge),DHCP 服务器仅三层路由口生效;
地址池network网段和接口 IP 网段不一致;
多设备 DHCP 冲突(交换机 / 光猫也开了 DHCP)。
四、适配修改说明
如果你内网不用 GE1/0/2、网段不是 192.168.10.0,只需要替换配置中三处:
接口GigabitEthernet 1/0/2
IP 地址192.168.10.1 255.255.255.0
DHCP 地址池内network、gateway-list、forbidden-ip网段
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论