DHCP Snooping

不需要dncp服务的可以不需要配置，需要配置的设置成dhcp-snooping trust。
可以了解下dhcp snooping的作用，

DHCP Snooping作用

DHCP Snooping是DHCP的一种安全特性，具有如下功能：

1. 保证客户端从合法的服务器获取IP地址

网络中如果存在私自架设的非法DHCP服务器，则可能导致DHCP客户端获取到错误的IP地址和网络配置参数，从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口：

·            信任端口正常转发接收到的DHCP报文。

·            不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文。

在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口，其他端口设置为不信任端口，从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。

2. 记录DHCP客户端IP地址与MAC地址的对应关系

DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文，记录DHCP Snooping表项，其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现：

·            ARP快速应答：根据DHCP Snooping表项来判断是否进行ARP快速应答，从而减少ARP广播报文。ARP快速应答的详细介绍请参见“三层技术-IP业务配置指导”中的“ARP快速应答”。

·            ARP Detection：根据DHCP Snooping表项来判断发送ARP报文的用户是否合法，从而防止非法用户的ARP攻击。ARP Detection的详细介绍请参见“安全配置指导”中的“ARP攻击防御”。

·            MFF（MAC-Forced Forwarding）：在MFF的自动方式中，设备截获到用户发送的ARP请求后，根据DHCP Snooping表项查找该用户对应的网关地址，并回复网关的MAC地址，强制用户将所有流量发送到网关，使得网关可以监控用户之间的数据流量，从而防止用户之间的恶意攻击，更好的保障网络安全。MFF的详细介绍请参见“安全配置指导”中的“MFF”。

·            IP Source Guard：通过动态获取DHCP Snooping表项对端口转发的报文进行过滤，防止非法报文通过该端口。IP Source Guard的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

·            VLAN映射：发送给用户的报文通过查找指定VLAN对应的DHCP Snooping表项中的DHCP客户端IP地址、MAC地址和原始VLAN的信息，将报文的指定VLAN修改为原始VLAN。VLAN映射的详细介绍请参见“二层技术-以太网交换配置指导”中的“VLAN映射”。