VPN_dhcpRelayView

VPN > VPN 上的 DHCP

VPN > VPN 上的 DHCP 页面用于配置防火墙以从 VPN 隧道另一端的 DHCP 服务器获得 IP 地址租用。某些网络部署希望将所有 VPN 网络置于一个逻辑 IP 子网上，造成一种似乎所有 VPN 网络都位于同一 IP 子网地址空间中的印象。这有利于使用 VPN 隧道的网络的 IP 地址管理。

DHCP 中继模式

远程和中心站点的防火墙针对初始 DHCP 流量及站点之间的后续 IP 流量的 VPN 隧道进行配置。远程站点（远程网关）的防火墙通过其 VPN 隧道传递 DHCP 广播数据包。中心站点（中心网关）的防火墙将远程网络客户端的 DHCP 数据包中继到中心站点上的 DHCP 服务器。

针对 VPN 上的 DHCP 配置中心网关

要针对中心网关配置 VPN 上的 DHCP，请执行以下步骤：

1. 选择 VPN > VPN 上的 DHCP。

2. 从 DHCP 中继模式菜单中选择中心网关。

3. 单击配置。随即显示 VPN 上的 DHCP 配置窗口。

4. 如果您要对全局 VPN 客户端或远程防火墙或对两者都使用 DHCP 服务器，请选择使用内部 DHCP 服务器选项。

5. 要对全局 VPN 客户端使用 DHCP 服务器，请选择用于全局 VPN 客户端选项。

6. 要对远程防火墙使用 DHCP 服务器，请选择远程防火墙选项。

7. 若要将 DHCP 请求发送到特定服务器，请选择向以下列出的服务器地址发送 DHCP 请求。

8. 单击添加。随即显示添加 DHCP 服务器窗口。

在 IP 地址字段中键入 DHCP 服务器的 IP 地址，然后单击确定。现在，防火墙将把 DHCP 请求导向指定服务器。

10. 在中继 IP 地址（可选）字段中键入中继服务器的 IP 地址。

要在 IP 地址表中编辑条目，请单击编辑。要删除 DHCP 服务器，请在 IP 地址表中高亮显示该条目，然后单击删除。单击全部删除将删除全部条目。

配置 VPN 上的 DHCP 的远程网关

1. 从 DHCP 中继模式菜单中选择远程网关。

2. 单击配置。随即显示 VPN 上的 DHCP 配置窗口。

在常规选项卡，如果 VPN 策略已启用本地网络使用 DHCP 通过该 VPN 隧道获得 IP 地址设置，则“通过该 VPN 隧道中继 DHCP”字段会自动显示 VPN 策略名称。

注只有使用 IKE 的 VPN 策略能够用作 DHCP 的 VPN 隧道。

4. 从 DHCP 租用绑定到菜单选择 DHCP 租用绑定的接口。

5. 如果在中继 IP 地址字段中输入一个 IP 地址，该 IP 地址将用作 DHCP 中继代理 IP 地址，代替中心网关的地址，并且必须保留在 DHCP 服务器上的 DHCP 范围中。此地址也可用来从中心网关后面通过 VPN 隧道远程管理该防火墙。

6. 如果在远程管理 IP 地址字段中输入一个 IP 地址，该 IP 地址将用来从中心网关后面管理防火墙，并且必须保留在 DHCP 服务器上的 DHCP 范围中。

7. 如果启用当检测到 IP 欺骗时阻止流量通过隧道，防火墙将阻止任何伪造认证用户 IP 地址的流量通过 VPN 隧道。但是，如果您有任何静态设备，必须确保为该设备键入正确的以太网地址。以太网地址是身份识别过程的一部分，不正确的以太网地址可能导致防火墙做出 IP 欺骗响应。

8. 如果 VPN 隧道中断，可以从本地 DHCP 服务器获得临时 DHCP 租用。一旦隧道再次可用，本地 DHCP 服务器就会停止租用。选中如果隧道关闭，则从本地 DHCP 服务器获取临时租用复选框。通过选中此复选框，您就能在隧道停止工作时获得故障切换选项。若要为临时租用设置一定的时间，请在临时租用时间框中键入临时租用的分钟数。默认值为 2 分钟。

设备

1. 要配置 LAN 上的设备，请单击设备选项卡。

要配置静态设备在 LAN，请单击添加以显示添加 LAN 设备条目窗口，并在 IP 地址字段键入设备的 IP 地址，然后在以太网地址字段键入设备的以太网地址。

静态设备的一个例子是打印机，因为它无法动态获取 IP 租用。如果未启用当检测到欺骗时阻止流量通过隧道，则无必要键入设备的以太网地址。必须从 DHCP 服务器上的可用 IP 地址池中排除静态 IP 地址，以免 DHCP 服务器将这些地址分配给 DHCP 客户端。还应排除用作中继 IP 地址的 IP 地址。建议保留一个 IP 地址块以用作中继 IP 地址。单击确定。

3. 要排除 LAN 上的设备，请单击添加以显示添加排除的 LAN 条目窗口。在以太网地址字段输入设备的 MAC 地址。单击确定。

单击确定以退出 VPN 上的 DHCP 配置窗口。

注必须在远程防火墙上配置本地 DHCP 服务器以将 IP 租用分配给这些计算机。

注如果远程站点无法连接中心网关并获取租用，请确认远程计算机未启用“确定网络增强器”(DNE)。

提示如果静态 LAN IP 地址不在 DHCP 范围内，向该 IP 路由是可能的，即两个 LAN。

当前 VPN 上的 DHCP 租用

滚动窗口显示当前绑定的详细信息：绑定的 IP 和以太网地址，以及租用时间和隧道名称。

要删除一个绑定以便在 DHCP 服务器中释放该 IP 地址，请从列表中选择该绑定，然后单击删除图标。完成该操作需要几秒钟时间。完成后，会在 Web 浏览器窗口的底部显示一条确认更新的消息。

单击全部删除将删除全部 VPN 租用。