DHCP在VLAN中的端口

因为有一次更改了网络架构导致一个自动获取IP的vlan无法得到IP地址

DHCP服务器为cisco 3560

DHCP配置如下:

int vlan 100

ip add   172.16.100.193 255.255.255.240


service dhcp

ip dhcp excluded-address 172.16.100.193 172.16.100.194


ip dhcp pool vlan100

network 172.16.100.192 255.255.255.240

default-route 172.16.100.193

dns-server xx.xx.xx.xx


但处于vlan100的电脑无法获取IP,接入层设备trunk正常vlan正常,客户机手动填入172.16.100.195能访问网络。这就让我想到3560上或者接入交换机上可能有ACL阻止。

show了一遍,发现在3560的vlan100里,自已填上了ACL

permit ip 172.16.100.172 0.0.0.15 any


这样就阻止了DHCP广播,但出于安全考虑,又不能删掉此ACL。

于是加入一条ACL

permit udp any eq bootpc any eq bootps

这样既允许DHCP的discovery广播,又能实现ACL安全功能。


你可能感兴趣的:(DHC)