华为5700交换机DHCP问题

同意楼上的，新建一个vlan来做dhcp（假设为vlan20，ip地址为101200/24），分配给来访人员！

然后用acl来控制这个网段的ip不能访问公司内网的服务器和打印机。

dhcp

enable

vlan

20

quit

interface

vlanif

20

descripton

to_laifang_renyuan

ip

address

101201

2552552550

dhcp

select

interface

dhcp

server

dns-list

1111

2222//假设1111

2222为dns服务器地址

quit

acl

number

3000

rule

5

deny

ip

source

101200

000255

destination

101100100

0//假设服务器地址为101100100

如果您想在华为防火墙上配置DHCP服务，以仅允许1-8端口自动获取IP地址，请按照以下步骤进行 *** 作：

1、登录防火墙管理页面，并进入“系统管理”菜单下的“DHCP服务器”选项。

2、在DHCP服务器页面中，点击“启用”按钮开启DHCP服务。

3、设置DHCP服务的IP地址池范围，将其设置为仅包含1-8端口的IP地址。

4、点击“保存”按钮保存DHCP配置。

5、在防火墙管理页面中，进入“安全策略”菜单下的“WAN口入方向”选项。

6、添加一条新的安全策略规则，限制1-8端口只能从DHCP服务器获取IP地址。具体 *** 作如下：

7、点击“添加”按钮创建新的安全策略规则。

8、将规则方向设置为“入站”，源地址设置为“任意”，目标地址设置为“静态IP”，并指定目标地址为防火墙的WAN口IP地址。

9、在“应用服务”中选择“DHCP”，并设置“DHCP服务地址”为DHCP服务器的IP地址

10、在“高级选项”中，将“端口”设置为“1-8”，表示该策略规则仅适用于1-8端口。保存并激活新的安全策略规则。

11、完成以上步骤后，DHCP服务器将仅向1-8端口提供IP地址，其他端口将无法获得IP地址。同时，新增的安全策略规则也将限制1-8端口仅能从DHCP服务器获取IP地址，增强了网络的安全性和可控性。

1、清除冲突地址。

  在作为DHCP服务器的设备上，清楚地址池中冲突的地址，使冲突的地址成为可以正常使用的地址。

  注意：地址冲突的客户端需要重新上线来获取新的IP地址。

  例：清除全局地址池test1或接口地址池vlanif 10内的冲突的IP地址。

  采用全局地址池时的配置：

  脚本：

  reset ip pool name test1 conflict

  采用接口地址池时的配置：

  脚本：

  reset ip pool interface vlanif10 conflict

2、扩大地址池范围。

  缩小地址池的掩码长度，可以扩大地址池范围。在扩大地址池范围之前，需要确认IP地址是否已经分配给客户端。

  （1）如果没有分配出去。

  采用全局地址池时的配置：

  脚本：

  system-view

  ip pool test1

  undo network

  network 101100 mask 24 //调整掩码长度

  采用接口地址池时的配置：

  脚本：

  system-view

  interface vlanif 10

  ip address 101101 24 //调整掩码长度

  dhcp select interface    //重新使能接口地址池功能

  （2）如果已经分配出去。

  在作为DHCP服务器的设备上，按回收IP地址（仅全局地址池时需要配置）>配置防止IP地址重复分配功能>调整地址池掩码长度的步骤，扩大地址池范围。

  采用全局地址池时的配置：

  脚本：

  reset ip pool name test all  //回收所有的IP地址

  system-view

  dhcp server ping packet 3  //配置防止IP地址重复分配功能

  dhcp server ping timeout 100 //配置防止IP地址重复分配功能

  ip pool test1

  undo network

  network 101100 mask 24  //调整掩码长度

  采用接口地址池时的配置：

  脚本：

  system-view

  dhcp server ping packet 3  //配置防止IP地址重复分配功能

  dhcp server ping timeout 100 //配置防止IP地址重复分配功能

  interface vlanif 10

  ip address 101101 24  //调整掩码长度

  dhcp select interface    //重新使能接口地址池功能

3、缩小地址池范围。

  扩大地址池的掩码长度可以缩小地址池范围。在缩小地址池范围之前，需要确认IP地址是否已经分配给客户端。

（1）如果没有分配出去。

  采用全局地址池时的配置：

  脚本：

  system-view

  ip pool test1

  undo network

  network 101100 mask 25 //调整掩码长度

  采用接口地址池时的配置：

  脚本：

  system-view

  interface vlanif 10

  ip address 101101 25 //调整掩码长度

  dhcp select interface    //重新使能接口地址池功能

  （2）如果已经分配出去。

  在作为DHCP服务器的设备上，按回收IP地址（仅全局地址池时需要配置）>配置防止IP地址重复分配功能>调整地址池掩码长度的步骤，缩小地址池范围。

  采用全局地址池时的配置：

  脚本：

  reset ip pool name test all  //回收所有的IP地址

  system-view

  dhcp server ping packet 3  //配置防止IP地址重复分配功能

  dhcp server ping timeout 100 //配置防止IP地址重复分配功能

  ip pool test1

  undo network

  network 101100 mask 25  //调整掩码长度

  采用接口地址池时的配置：

  脚本：

  system-view

  dhcp server ping packet 3  //配置防止IP地址重复分配功能

  dhcp server ping timeout 100 //配置防止IP地址重复分配功能

  interface vlanif 10

  ip address 101101 25  //调整掩码长度

  dhcp select interface    //重新使能接口地址池功能

4、防止从仿冒的DHCP服务器获取IP地址。

  在二层网络的接入设备或第一个DHCP中继上，配置DHCP Snooping功能防止从仿冒的DHCP服务器获取IP地址。

  （1）全局下的配置。

  脚本：

  system-view

  dhcp enable

  dhcp snooping enable

  （2）连接DHCP客户端侧接口的配置，所有连接DHCP客户端的接口都需要配置。

  脚本：

  interface gigabitethernet 1/0/10

  dhcp snooping enable

  quit

  （3）连接DHCP服务器侧接口的配置。

  interface gigabitethernet 1/0/15

  dhcp snooping trusted

  quit

5、关闭DHCP服务。

  脚本：

  system-view

  undo dhcp enable

以上就是关于华为5700交换机DHCP问题全部的内容，包括:华为5700交换机DHCP问题、华为防火墙怎么配dhcp,只允许1-8端口自动获取、华为交换机常见DHCP *** 作整理（下） 第十七天等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！