非dhcp用户不允许接入网络

.7.2  与DHCP Snooping配合的IPv4动态绑定功能配置举例

1. 组网需求

DHCP客户端通过Device的接口GigabitEthernet1/0/1接入网络，通过DHCP服务器获取IPv4地址。

具体应用需求如下：

·     Device上使能DHCP Snooping功能，保证客户端从合法的服务器获取IP地址，且记录客户端IPv4地址及MAC地址的绑定关系。

·     在接口GigabitEthernet1/0/1上启用IPv4动态绑定功能，利用动态生成的DHCP Snooping表项过滤接口接收的报文，只允许通过DHCP服务器动态获取IP地址的客户端接入网络。DHCP服务器的具体配置请参见“三层技术-IP业务配置指导”中的“DHCP服务器”。

2. 组网图

图1-3 配置与DHCP Snooping配合的IPv4动态绑定功能组网图

‌

3. 配置步骤

(1)     配置DHCP Snooping

# 配置各接口的IP地址（略）。

# 开启DHCP Snooping功能。

<Device> system-view

[Device] dhcp snooping enable

# 设置与DHCP服务器相连的接口GigabitEthernet1/0/2为信任接口。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] dhcp snooping trust

[Device-GigabitEthernet1/0/2] quit

(2)     配置IPv4接口绑定功能

# 开启接口GigabitEthernet1/0/1的IPv4接口绑定功能，绑定源IP地址和MAC地址，并启用接口的DHCP Snooping 表项记录功能。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address

[Device-GigabitEthernet1/0/1] dhcp snooping binding record

[Device-GigabitEthernet1/0/1] quit

4. 验证配置

# 显示接口GigabitEthernet1/0/1从DHCP Snooping获取的动态表项。

[Device] display ip source binding dhcp-snooping

Total entries found: 1

IP address      MAC address    Interface                VLAN Type

192.168.0.1     0001-0203-0406 GE1/0/1                  1    DHCP snooping

接口GigabitEthernet1/0/1在配置IPv4接口绑定功能之后，会根据该表项进行报文过滤。