• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F100-C-G5内网无法自动获取IP

2026-06-27提问
  • 0关注
  • 0收藏,162浏览
粉丝:0人 关注:0人

问题描述:

按照网上搜索到的教程,设置了内外网接口,地址池,还是无法自动获取IP。能提供详细设置步骤吗?机器已恢复出厂设置

3 个回答
xiaoyu 九段
粉丝:73人 关注:0人

https://zhiliao.h3c.com/topic/huati/1248

参考里面防火墙上网配置方法

暂无评论

粉丝:0人 关注:0人

你是直接电脑接的内网接口嘛。还是交换机接的。交换机接的话要开dhcp enable

暂无评论

粉丝:19人 关注:2人

防火墙 DHCP 拿不到 IP,不只是地址池,缺少 3 个必配项:
全局开启dhcp enable
内网接口加入 Trust 安全域
放通 Trust ↔ Local 域安全策略(防火墙本机 DHCP 服务器属于 Local 域,默认拦截 DHCP 广播报文)
环境规划(通用标准,可按需改网段 / 端口)
内网口:GigabitEthernet 1/0/2(接交换机 / 电脑)
内网网段:192.168.10.0/24,网关 192.168.10.1
DHCP 分配段:192.168.10.100 ~ 192.168.10.200
DNS:223.5.5.5、114.114.114.114
外网口:GigabitEthernet 1/0/1(接光猫 / 运营商)
安全域:内网 Trust、外网 Untrust、防火墙本机 Local
一、完整可复制配置(逐条粘贴)
1. 进入系统视图,基础初始化
plaintext
<H3C>system-view
[H3C]sysname F100-C-G5
# 全局开启DHCP(不开启地址池配置无效)
[F100-C-G5]dhcp enable
2. 配置内网接口 IP(三层路由口)
plaintext
# 内网GE1/0/2
[F100-C-G5]interface GigabitEthernet 1/0/2
[F100-C-G5-GigabitEthernet1/0/2]port link-mode route
[F100-C-G5-GigabitEthernet1/0/2]ip address 192.168.10.1 255.255.255.0
[F100-C-G5-GigabitEthernet1/0/2]undo shutdown
[F100-C-G5-GigabitEthernet1/0/2]quit
3. 配置 DHCP 地址池(核心)
plaintext
# 创建内网地址池lan-pool
[F100-C-G5]dhcp server ip-pool lan-pool
# 分配网段,必须和内网接口IP同网段
[F100-C-G5-dhcp-pool-lan-pool]network 192.168.10.0 mask 255.255.255.0
# 下发网关(内网接口IP)
[F100-C-G5-dhcp-pool-lan-pool]gateway-list 192.168.10.1
# 下发DNS
[F100-C-G5-dhcp-pool-lan-pool]dns-list 223.5.5.5 114.114.114.114
# IP租期1天
[F100-C-G5-dhcp-pool-lan-pool]lease day 1
# 保留静态IP段(1-99不分配给终端)
[F100-C-G5-dhcp-pool-lan-pool]forbidden-ip 192.168.10.1 192.168.10.99
[F100-C-G5-dhcp-pool-lan-pool]quit
4. 接口加入安全域(Trust 内网、Untrust 外网)
plaintext
# Trust域加入内网口
[F100-C-G5]security-zone name Trust
[F100-C-G5-security-zone-Trust]import interface GigabitEthernet 1/0/2
[F100-C-G5-security-zone-Trust]quit

# Untrust域加入外网口(按需配置上网)
[F100-C-G5]security-zone name Untrust
[F100-C-G5-security-zone-Untrust]import interface GigabitEthernet 1/0/1
[F100-C-G5-security-zone-Untrust]quit
5. 关键安全策略(解决拿不到 IP 核心)
防火墙 DHCP 服务器属于Local 域,终端在 Trust 域,跨域报文默认拦截,必须放行双向 DHCP(UDP 67/68)
plaintext
# 进入IPv4安全策略
[F100-C-G5]security-policy ip

# 规则1:Trust→Local 放行DHCP请求(终端发Discover给防火墙)
[F100-C-G5-security-policy-ip]rule 0 name Trust-To-Local-DHCP
[F100-C-G5-security-policy-ip-0-Trust-To-Local-DHCP]source-zone Trust
[F100-C-G5-security-policy-ip-0-Trust-To-Local-DHCP]destination-zone Local
[F100-C-G5-security-policy-ip-0-Trust-To-Local-DHCP]service dhcp
[F100-C-G5-security-policy-ip-0-Trust-To-Local-DHCP]action pass

# 规则2:Local→Trust 放行DHCP回复(防火墙下发IP给终端)
[F100-C-G5-security-policy-ip]rule 1 name Local-To-Trust-DHCP
[F100-C-G5-security-policy-ip-1-Local-To-Trust-DHCP]source-zone Local
[F100-C-G5-security-policy-ip-1-Local-To-Trust-DHCP]destination-zone Trust
[F100-C-G5-security-policy-ip-1-Local-To-Trust-DHCP]service dhcp
[F100-C-G5-security-policy-ip-1-Local-To-Trust-DHCP]action pass

# 可选:内网访问互联网放通策略
[F100-C-G5-security-policy-ip]rule 10 name Trust-To-Untrust-All
[F100-C-G5-security-policy-ip-10-Trust-To-Untrust-All]source-zone Trust
[F100-C-G5-security-policy-ip-10-Trust-To-Untrust-All]destination-zone Untrust
[F100-C-G5-security-policy-ip-10-Trust-To-Untrust-All]action pass

[F100-C-G5-security-policy-ip]quit
6. 保存配置
plaintext
[F100-C-G5]save force
二、Web 界面分步配置(不会命令行用这个)
登录管理页面
电脑直连 GE1/0/2,IP 设 192.168.10.2/24,浏览器打开***.***/B6yek4Ca0K,默认账号 admin/admin。
配置内网接口 IP
网络→接口→三层接口→编辑 GE1/0/2
模式:路由
IP 地址:192.168.10.1 掩码 255.255.255.0,启用接口
全局开启 DHCP
网络→DHCP→全局配置→勾选启用 DHCP 服务器,保存。
新建 DHCP 地址池
网络→DHCP→地址池→新建
名称:lan-pool
网段:192.168.10.0/24
网关:192.168.10.1
DNS:223.5.5.5、114.114.114.114
排除地址:192.168.10.1~192.168.10.99
接口加入安全域
网络→安全域→编辑 Trust→三层成员添加 GE1/0/2;Untrust 添加 GE1/0/1。
放行 DHCP 安全策略(最关键)
策略→安全策略→新建两条规则:
规则 A:源域 Trust、目的域 Local、服务 DHCP、动作允许
规则 B:源域 Local、目的域 Trust、服务 DHCP、动作允许
保存配置,终端刷新网络即可获取 IP。
三、无法获取 IP 故障排查清单(按顺序检查)
1. DHCP 服务基础检查
plaintext
display dhcp server status
# 输出必须显示DHCP server is enabled,否则缺少dhcp enable
display dhcp server ip-pool
# 确认地址池网段、网关和内网接口IP一致
2. 接口与网段校验
plaintext
display ip interface brief
# GE1/0/2必须UP,IP为192.168.10.1/24
3. 安全域与策略检查(最高频故障)
plaintext
display security-zone name Trust
# 确认GE1/0/2在三层成员列表
display security-policy ip rule all | include dhcp
# 必须能看到两条dhcp允许规则
4. 终端侧验证
电脑执行:
plaintext
ipconfig /release
ipconfig /renew
获取到 169.254.x.x:防火墙没回复 DHCP Offer,99% 是安全策略拦截
完全无报错但拿不到地址:地址池网段不匹配、dhcp 未全局开启
5. 其他隐性问题
内网交换机开 DHCP Snooping,上行口未配置dhcp snooping trust;
内网接口配成桥模式(port link-mode bridge),DHCP 服务器仅三层路由口生效;
地址池network网段和接口 IP 网段不一致;
多设备 DHCP 冲突(交换机 / 光猫也开了 DHCP)。
四、适配修改说明
如果你内网不用 GE1/0/2、网段不是 192.168.10.0,只需要替换配置中三处:
接口GigabitEthernet 1/0/2
IP 地址192.168.10.1 255.255.255.0
DHCP 地址池内network、gateway-list、forbidden-ip网段

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明