为什么配置DHCP snooping

您好，参考

5.1  DHCP Snooping简介

5.1.1  DHCP Snooping作用

DHCP Snooping是DHCP的一种安全特性，具有如下功能：

(1)        保证客户端从合法的服务器获取IP地址。

(2)        记录DHCP客户端IP地址与MAC地址的对应关系。

1. 保证客户端从合法的服务器获取IP地址

网络中如果存在私自架设的伪DHCP服务器，则可能导致DHCP客户端获取错误的IP地址和网络配置参数，无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口：

l              信任端口正常转发接收到的DHCP报文。

l              不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文。

连接DHCP服务器和其他DHCP Snooping设备的端口需要设置为信任端口，其他端口设置为不信任端口，从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。

5.8  DHCP Snooping典型配置举例

5.8.1  DHCP Snooping配置举例

1. 组网需求

Switch B通过以太网端口GigabitEthernet1/0/1连接到DHCP服务器，通过以太网端口GigabitEthernet1/0/2、GigabitEthernet1/0/3连接到DHCP客户端。要求：

l              与DHCP服务器相连的端口可以转发DHCP服务器的响应报文，而其他端口不转发DHCP服务器的响应报文。

l              记录DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文中DHCP客户端IP地址及MAC地址的绑定关系。

2. 组网图

图5-3 DHCP Snooping组网示意图

3. 配置步骤

# 使能DHCP Snooping功能。

<SwitchB> system-view

[SwitchB] dhcp-snooping

# 配置GigabitEthernet1/0/1端口为信任端口。

[SwitchB] interface GigabitEthernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] dhcp-snooping trust

[SwitchB-GigabitEthernet1/0/1] quit