DHCP Snooping典型配置详解：全局与VLAN模式下的具体操作步骤

DHCP Snooping典型配置详解：全局与VLAN模式下的具体操作步骤

引用

CSDN

1.

https://blog.csdn.net/gaoxiangfei/article/details/142751382

DHCP Snooping是一种用于增强网络安全性的重要技术，可以有效防止未经授权的DHCP服务器在局域网中提供IP地址分配服务。本文将通过两个典型配置场景，详细介绍如何在路由器上开启和配置DHCP Snooping功能，帮助读者掌握这一关键技术。

全局开启DHCP Snooping配置举例

组网需求

Router B通过以太网端口Ten-GigabitEthernet0/0/6连接到合法DHCP服务器，通过以太网端口Ten-GigabitEthernet0/0/8连接到非法DHCP服务器，通过Ten-GigabitEthernet0/0/7连接到DHCP客户端。要求：

• 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文，而其他端口不转发DHCP服务器的响应报文。
• 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。

组网图

配置步骤

1. 全局开启DHCP Snooping功能。

<RouterB> system-view
[RouterB] dhcp snooping enable

2. 设置Ten-GigabitEthernet0/0/6端口为信任端口。

[RouterB] interface ten-gigabitethernet 0/0/6
[RouterB-Ten-GigabitEthernet0/0/6] dhcp snooping trust
[RouterB-Ten-GigabitEthernet0/0/6] quit

3. 在Ten-GigabitEthernet0/0/7上开启DHCP Snooping表项功能。

[RouterB] interface ten-gigabitethernet 0/0/7
[RouterB-Ten-GigabitEthernet0/0/7] dhcp snooping binding record
[RouterB-Ten-GigabitEthernet0/0/7] quit

验证配置

配置完成后，DHCP客户端只能从合法DHCP服务器获取IP地址和其它配置信息，非法DHCP服务器无法为DHCP客户端分配IP地址和其他配置信息。且使用display dhcp snooping binding可查询到获取到的DHCP Snooping表项。

按VLAN开启DHCP Snooping配置举例

组网需求

Router B通过以太网端口Ten-GigabitEthernet0/0/6连接到合法DHCP服务器，通过以太网端口Ten-GigabitEthernet0/0/8连接到非法DHCP服务器，通过Ten-GigabitEthernet0/0/7连接到DHCP客户端。要求：

• VLAN 100上与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文，而其他端口不转发DHCP服务器的响应报文。
• 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。

组网图

配置步骤

1. 配置端口Ten-GigabitEthernet0/0/6、Ten-GigabitEthernet0/0/7和Ten-GigabitEthernet0/0/8为Access端口，允许VLAN 100通过。

<RouterB> system-view
[RouterB] vlan 100
[RouterB-vlan100] port ten-gigabitethernet 0/0/6 to ten-gigabitethernet 0/0/8
[RouterB-vlan100] quit

2. 在VLAN100内开启DHCP Snooping功能。

[RouterB] dhcp snooping enable vlan 100

3. 指定端口Ten-GigabitEthernet0/0/6为VLAN 100下DHCP Snooping功能的信任端口。

[RouterB] vlan 100
[RouterB-vlan100] dhcp snooping trust interface ten-gigabitethernet 0/0/6

4. 在VLAN 100内开启DHCP Snooping表项记录功能。

[RouterB-vlan100] dhcp snooping binding record
[RouterB-vlan100] quit

验证配置

配置完成后，DHCP客户端只能从合法DHCP服务器获取IP地址和其它配置信息，非法DHCP服务器无法为DHCP客户端分配IP地址和其他配置信息。且使用display dhcp snooping binding可查询到获取到的DHCP Snooping表项。