AC+DHCP

1、是的

2、

1.9.5  用户合法性检查和报文有效性检查配置举例

1. 组网需求

·            Switch A是DHCP服务器；

·            Host A是DHCP客户端；用户Host B的IP地址是10.1.1.6，MAC地址是0001-0203-0607。

·            Switch B是DHCP Snooping设备，在VLAN 10内启用ARP Detection功能，对DHCP客户端和用户进行用户合法性检查和报文有效性检查。

2. 组网图

图1-3 配置用户合法性检查和报文有效性检查组网图

3. 配置步骤

(1)       配置组网图中所有接口属于VLAN及Switch A对应VLAN接口的IP地址（略）

(2)       配置DHCP服务器Switch A

# 配置DHCP地址池0。

<SwitchA> system-view

[SwitchA] dhcp enable

[SwitchA] dhcp server ip-pool 0

[SwitchA-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0

(3)       配置DHCP客户端Host A和用户Host B（略）

(4)       配置设备Switch B

# 启用DHCP Snooping功能。

<SwitchB> system-view

[SwitchB] dhcp snooping enable

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] dhcp snooping trust

[SwitchB-GigabitEthernet1/0/3] quit

# 在接口GigabitEthernet1/0/1上启用DHCP Snooping表项记录功能。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/1] quit

# 使能ARP Detection功能，对用户合法性进行检查。

[SwitchB] vlan 10

[SwitchB-vlan10] arp detection enable

# 接口状态缺省为非信任状态，上行接口配置为信任状态，下行接口按缺省配置。

[SwitchB-vlan10] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] arp detection trust

[SwitchB-GigabitEthernet1/0/3] quit

# 在接口GigabitEthernet1/0/2上配置IP Source Guard静态绑定表项。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ip source binding ip-address 10.1.1.6 mac-address 0001-0203-0607 vlan 10

[SwitchB-GigabitEthernet1/0/2] quit

# 配置进行报文有效性检查。

[SwitchB] arp detection validate dst-mac ip src-mac

完成上述配置后，对于接口GigabitEthernet1/0/1和GigabitEthernet1/0/2收到的ARP报文，先进行报文有效性检查，然后基于IP Source Guard静态绑定表项、DHCP Snooping安全表项进行用户合法性检查。