华三交换机核心已配置dhcp，二层交换机如何配置dhcp

<think>嗯，用户这次聚焦在H3C二层交换机的DHCP配合配置上，结合了之前提供的核心交换机部署场景引用[^1]。看来用户正在搭建一个典型的企业级网络：核心层做DHCPServer，接入层需要实现安全和转发功能。用户可能是个企业网管，正在实施网络改造，或者遇到了VLAN间通信问题。从ta强调“核心交换机已配好DHCP”这点看，核心层配置应该已完成，现在卡在接入层交换机的调试环节。深层需求可能是想确保终端用户能安全获取IP的同时，防止私接路由器等违规操作。需要特别注意两个技术要点：一是DHCPSnooping和核心交换机DHCPServer的联动机制；二是IPSG绑定表如何自动生成。用户提供的引用[^1]里提到这两项关键安全技术，必须详细解释其实现逻辑。技术上要分三层讲明白：第一层是基础接入配置（VLAN/端口），这是信号传输的前提；第二层是安全加固（Snooping+IPSG），对应企业网常见需求；第三层是验证手段，毕竟这类配置容易出错。最需要警惕的是DHCPSnooping信任端口的设置错误——如果漏配上行口信任，整个子网都会拿不到IP。这个坑在实测中经常遇到，得用⚠️符号重点警示。另外IPSG的绑定表刷新周期（默认300秒）也应该提醒，避免用户误以为配置没生效。考虑到用户参考的是真实项目文档，配置示例里的端口名称（GE1/0/1）和VLAN号（10/20）直接沿用引用[^1]的命名规范保持连贯性。最后补充的“配置要点”比官方手册更实用，比如禁用未使用端口这条，很多工程师会忽略，但能显著降低广播风暴风险。</think> 根据您描述的**核心交换机已部署DHCP服务**的二层网络架构（核心交换机作为DHCP Server，接入交换机作二层转发），以下是**H3C二层交换机的关键配置步骤和示例**，重点实现安全功能（DHCP Snooping + IPSG）和正确中继。引用拓扑参考[^1]：  --- ### 一、二层交换机核心配置步骤（结合引用[^1]） #### 1. **基础VLAN与端口配置** ```bash # 创建VLAN（以部门VLAN10/20为例） <H3C> system-view [H3C] vlan 10 # 对应引用[^1]的部门VLAN [H3C] vlan 20 # 配置连接PC的Access端口 [H3C] interface GigabitEthernet1/0/1 # PC接入端口 [H3C-GigabitEthernet1/0/1] port link-type access [H3C-GigabitEthernet1/0/1] port access vlan 10 # 划入VLAN10 # 配置上行Trunk端口（连接核心交换机） [H3C] interface Eth-Trunk1 # 引用[^1]的可靠链路 [H3C-Eth-Trunk1] port link-type trunk [H3C-Eth-Trunk1] port trunk permit vlan 10 20 # 允许业务VLAN通过 ``` #### 2. **启用DHCP Snooping防私接小路由** ```bash # 全局开启DHCP Snooping [H3C] dhcp snooping enable # 在VLAN维度启用（关键步骤[^1]） [H3C] vlan 10 [H3C-vlan10] dhcp snooping enable # VLAN10启用检测 [H3C-vlan10] quit [H3C] vlan 20 [H3C-vlan20] dhcp snooping enable # VLAN20启用检测 # 将上行口设为信任端口（允许DHCP Server响应） [H3C] interface Eth-Trunk1 [H3C-Eth-Trunk1] dhcp snooping trust # 核心交换机方向为信任源 ``` #### 3. **配置IPSG防IP篡改** ```bash # 开启IPv4报文检查 [H3C] ip source check enable # 动态生成IP+MAC绑定表（依赖DHCP Snooping） [H3C] interface vlan 10 [H3C-Vlan-interface10] ip verify source dhcp-snooping # 自动绑定DHCP分配记录 [H3C-Vlan-interface20] ip verify source dhcp-snooping # 对每个VLAN启用 ``` #### 4. **禁用未使用端口提升安全性** ```bash [H3C] interface range GigabitEthernet1/0/2 to GigabitEthernet1/0/24 [H3C-if-range] shutdown # 关闭闲置端口（防私接设备[^1]） [H3C-if-range] quit ``` --- ### 二、验证命令与效果说明 | **功能** | **验证命令** | **预期效果** | |------------------|---------------------------------|---------------------------------------------| | DHCP Snooping | `display dhcp snooping binding` | 显示PC的IP+MAC+VLAN绑定记录 | | IPSG | `display ip source binding` | 展示动态生成的绑定表（与DHCP记录一致） | | 信任端口 | `display dhcp snooping trust` | 确认Eth-Trunk1处于信任状态 | > ✅ **终端效果**： > - PC通过`dhcp`命令自动获取核心分配的IP（`ipconfig`可见网关为**核心交换机VLAN接口IP**） > - 私接路由器/手动改IP将被交换机**阻断网络访问**（触发IPSG丢弃报文）[^1] --- ### 三、配置要点总结 1. **安全联动**：DHCP Snooping为IPSG提供动态绑定表基础，实现“合法分配IP才允许通信” 2. **信任端口必配**：上行口必须标记为`dhcp snooping trust`，否则所有DHCP响应被丢弃 3. **端口策略**： - 下行PC端口：`access`模式绑定VLAN - 上行核心端口：`trunk`模式透传所有业务VLAN > ⚠️ **注意**：若网络包含无线AP（如引用[^2]中的WA6320），需在对应VLAN（如VLAN200/500）重复步骤2-3的Snooping+IPSG配置。 --- ### 问题解决：当用户无法获取IP时 1. 检查接入交换机**信任端口配置**是否遗漏（`display dhcp snooping trust`） 2. 确认核心交换机**VLAN接口地址池**已配置（如`interface Vlanif10`需配IP并`dhcp select global`） 3. 查看端口隔离策略：是否有`port-isolate enable`隔离了用户端口？