S5560 + 防止DHCP非法接入

1）使用 dhcp snooping enable，对交换机自己发布的DHCP需要设置snooping trust吗，如果是，怎么设置。还是不影响交换机自己发布的DHCP
2）可对交换机特定端口限制DHCP的非法接入吗，怎么实现

问题一，自己的不需要

问题二，接口默认是untrust，你只需要在需要的接口trust就行了

您好，参考配置

关于DHCP snooping的配置，在去往DHCP服务器的端口上开启dhcp snooping就可以了。具体可参考如下配置举例：

5.8.1  DHCP Snooping配置举例

1. 组网需求

Switch B通过以太网端口GigabitEthernet1/0/1连接到DHCP服务器，通过以太网端口GigabitEthernet1/0/2、GigabitEthernet1/0/3连接到DHCP客户端。要求：

·     与DHCP服务器相连的端口可以转发DHCP服务器的响应报文，而其他端口不转发DHCP服务器的响应报文。

·     记录DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文中DHCP客户端IP地址及MAC地址的绑定关系。

2. 组网图

图5-3 DHCP Snooping组网示意图

3. 配置步骤

# 使能DHCP Snooping功能。

<SwitchB> system-view

[SwitchB] dhcp-snooping

# 配置GigabitEthernet1/0/1端口为信任端口。

[SwitchB] interface GigabitEthernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] dhcp-snooping trust

[SwitchB-GigabitEthernet1/0/1] quit

如果是有专门的DHCP服务器，也可以配置DHCP中继。

以下是DHCP的用户手册连接：

https://www.h3c.com/cn/d_201312/808476_30005_0.htm#_Toc354672858

您好，请知：

如果要确保接入到正确的DHCP上获取到IP，需配置dhcp snooping。

其次需要在去往DHCP服务器的端口配置为trust

具体可参考如下的配置举例和用户手册链接：

5.8.1  DHCP Snooping配置举例

1. 组网需求

Switch B通过以太网端口GigabitEthernet1/0/1连接到DHCP服务器，通过以太网端口GigabitEthernet1/0/2、GigabitEthernet1/0/3连接到DHCP客户端。要求：

·     与DHCP服务器相连的端口可以转发DHCP服务器的响应报文，而其他端口不转发DHCP服务器的响应报文。

·     记录DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文中DHCP客户端IP地址及MAC地址的绑定关系。

2. 组网图

图5-3 DHCP Snooping组网示意图

3. 配置步骤

# 使能DHCP Snooping功能。

<SwitchB> system-view

[SwitchB] dhcp-snooping

# 配置GigabitEthernet1/0/1端口为信任端口。

[SwitchB] interface GigabitEthernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] dhcp-snooping trust

[SwitchB-GigabitEthernet1/0/1] quit

如果是有专门的DHCP服务器，也可以配置DHCP中继。

以下是DHCP的用户手册连接：

https://www.h3c.com/cn/d_201312/808476_30005_0.htm#_Toc354672858