1. 华为DHCP relay应用场景解析在企业网络架构中多VLAN环境下的IP地址分配一直是个让人头疼的问题。想象一下一个中型企业有市场部、技术部和财务部三个部门每个部门都需要独立的网络隔离但又要求能够互相访问共享资源。这时候华为交换机的DHCP relay功能就能大显身手了。我去年给一家连锁零售企业部署网络时就遇到过类似场景。他们总部有5个部门分布在3层楼每个部门都需要独立的VLAN。如果给每个VLAN单独配置DHCP服务器不仅管理麻烦还浪费资源。使用DHCP relay后只需要一台核心交换机就能搞定所有VLAN的地址分配维护起来特别方便。DHCP relay的工作原理其实很简单就像个快递中转站。当接入层交换机的客户端发出DHCP请求时relay会把这个请求打包转发给远端的DHCP服务器再把服务器返回的地址信息配送给客户端。整个过程对客户端完全透明感觉就像直接和DHCP服务器通信一样。2. 实验环境搭建与基础配置2.1 网络拓扑设计我们先来看一个典型的三层网络架构核心层华为S5700系列交换机作为DHCP relay汇聚层两台S3700交换机负责VLAN接入接入层多台PC设备分属不同VLAN这个架构最大的优势是扩展性强。比如市场部新增了10台电脑只需要在接入交换机上把对应端口划入市场部VLAN就行核心配置完全不用动。我经手的一个项目从最初3个VLAN扩展到12个VLAN核心交换机配置只增加了9条vlanif接口命令。2.2 DHCP服务器配置首先配置路由器作为DHCP服务器。这里有个小技巧地址池的网关一定要和后续vlanif接口地址一致否则客户端能获取IP但无法通信。我曾经就踩过这个坑排查了半天才发现是网关配置错了。# 启用DHCP服务 dhcp enable # 创建VLAN2地址池 ip pool VLAN2 network 10.10.0.0 mask 24 gateway-list 10.10.0.254 dns-list 8.8.8.8 # 创建VLAN3地址池 ip pool VLAN3 network 10.10.1.0 mask 24 gateway-list 10.10.1.254注意实际项目中建议配置DNS和租期参数我一般设置租期为7天既不会导致IP频繁变更又能在人员变动时及时回收地址。3. 核心交换机DHCP relay配置详解3.1 基础中继配置核心交换机SW1的配置是关键中的关键。这里最容易出错的是忘记配置到DHCP服务器的静态路由导致relay无法转发请求。有一次项目验收时遇到这个问题后来发现是路由下一跳写错了。# 创建DHCP服务器组 dhcp enable dhcp server group r1 dhcp-server 10.0.0.1 # 配置VLANIF接口 interface vlanif1 ip address 10.0.0.2 24 # 配置VLANIF2中继 interface vlanif2 ip address 10.10.0.254 24 dhcp select relay dhcp relay server-select r13.2 VLAN间互通实现很多工程师不明白为什么vlanif接口地址要设成地址池网关。其实这就是实现VLAN间互通的核心原理。当VLAN2的PC访问VLAN3的PC时数据包会先到10.10.0.254再通过三层路由转发到10.10.1.254。有个客户曾经问我为什么不用单臂路由我的回答是当VLAN数量超过5个时DHCP relay方案更易于管理。而且华为交换机的硬件转发能力完全不用担心性能问题。4. 接入层交换机实战配置4.1 Trunk链路配置SW1与SW2/SW3之间的Trunk配置要注意allowed vlan的范围。有次割接时因为漏配了一个VLAN导致新部门电脑无法上网。现在我养成了个好习惯配置完用display port vlan命令反复检查。# 核心交换机SW1配置 interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 2 3 # 接入交换机SW2配置 interface Ethernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 34.2 接入端口划分接入层配置虽然简单但最容易出问题。建议先在测试环境用少量端口验证再批量配置。我开发了个小脚本可以自动检查端口VLAN划分情况大大提高了部署效率。# 将端口划入指定VLAN interface Ethernet0/0/2 port link-type access port default vlan 2 interface Ethernet0/0/3 port link-type access port default vlan 35. 常见问题排查指南5.1 地址获取失败排查遇到PC无法获取IP时我通常按照这个顺序排查检查物理链路端口灯是否正常检查VLAN配置display vlan查看VLAN是否存在检查DHCP报文在核心交换机用debugging dhcp relay查看报文交互检查路由可达性ping测试DHCP服务器地址去年处理过一例奇葩故障客户新买的网线质量不达标导致DHCP报文丢失。更换网线后立即解决问题。所以现在我的工具箱里常备各种长度的优质网线。5.2 VLAN间通信故障如果VLAN间无法互通重点检查vlanif接口状态display ip interface brief路由表display ip routing-table防火墙策略display current-configuration | include acl有个案例让我记忆深刻客户配置了ACL但忘记应用结果所有VLAN间通信都被阻断。现在我做任何配置变更都会先备份配置并记录变更内容。6. 进阶配置技巧6.1 地址池优化建议对于大型网络我推荐这些优化措施按部门划分地址池便于管理预留20%的地址冗余为打印机等固定设备配置静态分配# 静态地址绑定示例 dhcp static-bind ip-address 10.10.0.100 mac-address 5489-98b1-0f246.2 安全加固方案DHCP relay也需要安全防护启用DHCP snooping防止伪造服务器配置端口安全限制MAC数量定期检查地址池使用率在金融行业项目中我还会额外配置802.1X认证确保只有授权设备才能接入网络。这些措施组合使用能有效防范内网攻击。