忽略/阻止上游 DHCP,而不是使用交换机 DHCP?

网络工程 思科 转变 局域网 dhcp
2022-02-24 03:17:27

编辑:简化(剧烈)问题:

问题: 我有一台支持 SVI 和 DHCP 的 Cisco IE3000 L2 交换机,需要通过上行链路端口连接到我们的 LAN 并通过下行链路连接到现场设备?港口。我需要连接到下行端口的设备忽略上游 DHCP 服务器,只接收来自交换机本身的 IP 地址。我还需要交换机在上行链路和下行链路端口之间“切换”网络流量。

现在,我能做到这一点的唯一方法是在交换机和下游设备启动并从交换机 DHCP 服务器分配/接收 IP 地址时断开上行链路。然后我重新连接上行链路,一切都很好。

如果我在交换机和下行链路设备启动时保持上行链路连接,则下行链路设备会从上游 DHCP 服务器接收 IP 地址。这是个问题。

  • 附带问题 - 当上行链路连接时,什么机制允许上游 dhcp 服务器覆盖本地交换机 dhcp 服务器?为什么交换机 dhcp 不在主 dhcp 服务器之前回答/分配一个 IP 地址给下行链路端口?

我还尝试将所有下行链路端口分配给交换机上的单独 VLAN。这允许下行链路端口从交换机获得正确的 IP 地址,即使连接了上行链路,但显然上行链路端口和下行链路端口之间的通信是不可能的,因为它们位于不同的 VLAN 上。

供应商的解决方案是将他们的双宿主应用计算机放在现场设备交换机和上游网络的其余部分之间,但这似乎有点作弊,并且现场设备环境不利于 PC 寿命。

显然,如果它们达到相同的目的,任何其他方法都是受欢迎的。

交换机不支持 VLAN 间通信/SVI 路由,但即使支持,我认为我最终会得到与选项 1 相同的结果。

3个回答

您的情况有些混乱。如果我理解得很好,您想过滤 L2 上的 DHCP 请求。

您可以通过使用您平台上可用的 DHCP Snooping 功能来实现它。

您可以将所有端口设置为不受信任模式,以便只接受来自交换机的 DHCP 回复。

DHCP Snooping - 配置指南

DHCP 监听就像不受信任的主机和 DHCP 服务器之间的防火墙。您可以使用 DHCP 侦听来区分连接到最终用户的不受信任接口和连接到 DHCP 服务器或其他交换机的受信任接口。

这就是您正在寻找的,过滤主机和上游 DHCP 之间的 DHCP 通信。

据我了解,您希望您的 LAN 仅接收来自 IE3000 交换机的 IP 地址分配。如果您的运行配置中设置了 IP 帮助程序地址,您应该首先禁用它。这可能会自行解决问题,并使事情变得简单。

不确定为什么要忽略上游 DHCP 服务器?您不能禁用交换机的 DHCP 并仅使用上游吗?您只希望下游客户端获取 IP 地址。

您是否尝试过两个 VLAN 之间的静态路由?您不需要启用路由。

其它你可能感兴趣的问题
上一篇接口的限制是否独立于输入/输出? 下一篇IP流量的网络交换机功能