H3C交换机DHCP Snooping典型配置举例

DHCP 典型配置【需求】DHCP 的主要用途是:通过DHCP服务器的协助来控管各个客户机（执行中的用户端）上不可缺少的网络配置参数,包括DNS（Domain Name Service 域名服务),WINS （Windows Internet Name Service Windows互联网名字服务）等。

【组网图】RouterA配置脚本#sysname RouterA＃radius scheme system＃domain system#dhcp server ip-pool 1 /创建DHCP 地址池/network 192。

168。

0。

0 mask 255。

255.255。

0 /指定可以分配的地址段/gateway—list 192.168。

0。

1 /指定网关/dns—list 192。

168。

0.2 /指定DNS server地址/domain—name huawei-3com。

com /指定域名/＃interface Ethernet0/0ip address 192.168.0.1 255.255。

255。

0 /配置网关地址/#interface Serial2/0link—protocol ppp＃interface NULL0＃dhcp server forbidden-ip 192。

168。

0。

1 192.168。

0。

2 /保留网关、DNS的地址/#user—interface con 0user-interface vty 0 4＃return【验证】在PC上执行“ipconfig”，该PC已经通过DHCP自动获取IP地址、网关、域名信息。

C：\〉ipconfigWindows IP ConfigurationEthernet adapter 本地连接：Connection-specific DNS Suffix . ： IP Address。

. 。

. 。

. . : 192.168.0。

华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP平安特性，在配置DHCP Snooping各平安功能之前需首先使能DHCP Snooping功能。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再使能接口或VLAN下的DHCP Snooping功能。

图1配置DHCP Snooping根本功能组网图如上图1所示，Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP 效劳器。

以Switch_1为例，在使能DHCP Snooping功能时需要注意：使能DHCP Snooping功能之前，必须已使用命令dhcp enable使能了设备的DHCP功能。

全局使能DHCP Snooping功能后，还需要在连接用户的接口〔如图中的接口if1、if2和if3〕或其所属VLAN〔如图中的VLAN 10〕使能DHCP Snooping功能。

当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN 使能DHCP Snooping功能。

请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。

1、使能DHCP Snooping功能[Huawei]dhcp snooping enable ?ipv4DHCPv4 Snoopingipv6DHCPv6 Snoopingvlan Virtual LAN<cr>或[Huawei]dhcp snooping over-vpls enable#使能设备在VPLS网络中的DHCP Snooping功能或[Huawei-vlan2]dhcp snooping enable[Huawei-GigabitEthernet0/0/3]dhcp snooping enable2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted或[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/63、去使能DHCP Snooping用户位置迁移功能在移动应用场景中，假设某一用户由接口A上线后，切换到接口B重新上线，用户将发送DHCP Discover报文申请IP地址。

H3C三层交换机DHCP服务器配置实例H3C三层交换机DHCP服务器配置实例DHCP采样UDP链接方式，服务器端口为67，客户机端口为68.实验环境(H3CENSP)一、配置要点a：在路由器上配置DHCPserver第一步：(系统视图)开启DHCP：DHCPenable第二步：(进入接口视图)为与客户端相连的端口配置ip地址第三步：(系统视图)建立DHCP地址池:ippoolaaa第四步：(pool模式下)配置network网段、Gateway-list网关、dns-listDNS服务器地址、excluded-ip-address需要排除的ip地址第五步：进入接口模式，在接口中启动DHCP动态分配：dhcpselectgloble第六步：将客户端的'dhcp启动即可实例：路由器配置：#sysnameHuawei#dhcpenable#ippoolaaagateway-list192.168.1.1network192.168.1.0mask255.255.255.0excluded-ip-address192.168.1.10dns-list192.168.1.10192.168.10.10#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordcipherOOCM4m($F4ajUn1vMEIBNUw# local-useradminservice-typehttp#firewallzoneLocalpriority16#interfaceEthernet0/0/0ipaddress192.168.1.1255.255.255.0dhcpselectglobal#interfaceEthernet0/0/1#interfaceSerial0/0/0link-protocolppp#interfaceSerial0/0/1link-protocolppp#interfaceSerial0/0/2link-protocolppp#interfaceSerial0/0/3link-protocolppp#interfaceGigabitEthernet0/0/0 #interfaceGigabitEthernet0/0/1 #interfaceGigabitEthernet0/0/2 #interfaceGigabitEthernet0/0/3 #wlan#interfaceNULL0#user-interfacecon0user-interfacevty04user-interfacevty1620#returnb：在三层交换机中为不同vlan配置不同DHCPserver第一步：在三层交换机上建好vlan并分配好端口第二步：(系统视图)开启DHCP：DHCPenable第三步：为每一个vlan都建立一个相应的DHCP地址池(命名可以随意)第四步：为每一个地址池配置好自己相应vlan的network网段、Gateway-list网关、dns-listDNS服务器地址、excluded-ip-address需要排除的ip地址第五步：进入每一个vlan接口，先配置好各自的ip地址，然后在启动DHCP动态分配：dhcpselectgloble第六步：将客户端的dhcp启动即可实例：三层交换机配置：[Huawei]displaycurrent-configuration#sysnameHuawei#vlanbatch2to3#clusterenablentdpenablendpenable#dropillegal-macalarm#dhcpenable#diffservdomaindefault#drop-profiledefault#ippoolaaanetwork192.168.1.0mask255.255.255.0 excluded-ip-address192.168.1.1dns-list192.168.10.10#ippoolbbbnetwork192.168.2.0mask255.255.255.0 excluded-ip-address192.168.2.1dns-list192.168.10.10#aaaauthentication-schemedefault authorization-schemedefault accounting-schemedefault domaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadmin local-useradminservice-typehttp#interfaceVlanif1#interfaceVlanif2ipaddress192.168.1.1255.255.255.0 dhcpselectglobal#interfaceVlanif3ipaddress192.168.2.1255.255.255.0 dhcpselectglobal#interfaceMEth0/0/1#interfaceEthernet0/0/1 portlink-typeaccess portdefaultvlan2#interfaceEthernet0/0/2 #interfaceEthernet0/0/3 #interfaceEthernet0/0/4 portlink-typeaccess portdefaultvlan3#interfaceEthernet0/0/5 #interfaceEthernet0/0/6 #interfaceEthernet0/0/7 #interfaceEthernet0/0/8 #interfaceEthernet0/0/9 #interfaceEthernet0/0/10#interfaceEthernet0/0/11 #interfaceEthernet0/0/12 #interfaceEthernet0/0/13 #interfaceEthernet0/0/14 #interfaceEthernet0/0/15 #interfaceEthernet0/0/16 #interfaceEthernet0/0/17 #interfaceEthernet0/0/18 #interfaceEthernet0/0/19 #interfaceEthernet0/0/20 #interfaceEthernet0/0/21 #interfaceEthernet0/0/22#interfaceGigabitEthernet0/0/1 #interfaceGigabitEthernet0/0/2 #interfaceNULL0#user-interfacecon0user-interfacevty04#return。

H3C交换机配置DHCP配置H3C交换机配置DHCP配置DHCP, 交换机1，交换机作DHCP Server『配置环境参数』1. PC1、PC2的网卡均采用动态获取IP地址的方式2. PC1连接到交换机的以太网端口0/1，属于VLAN10；PC2连接到交换机的以太网端口0/2，属于VLAN203. 三层交换机SwitchA的VLAN接口10地址为10.1.1.1/24，VLAN接口20地址为10.1.2.1/24『组网需求』1. PC1可以动态获取10.1.1.0/24网段地址，并且网关地址为10.1.1.1；PC2可以动态获取10.1.2.0/24网段地址，并且网关地址为10.1.2.1『DHCP Server配置流程流程』可以完成对直接连接到三层交换机的PC机分配IP地址，也可以对通过DHCP中继设备连接到三层交换机的PC机分配IP地址。

分配地址的方式可以采用接口方式，或者全局地址池方式。

【SwitchA采用接口方式分配地址相关配置】1. 创建（进入）VLAN10[SwitchA]vlan 102. 将E0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 0/13. 创建（进入）VLAN接口10[SwitchA]interface Vlan-interface 104. 为VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.05. 在VLAN接口10上选择接口方式分配IP地址[SwitchA-Vlan-interface10]dhcp select interface6. 禁止将PC机的网关地址分配给用户[SwitchA]dhcp server forbidden-ip 10.1.1.1【SwitchA采用全局地址池方式分配地址相关配置】1. 创建（进入）VLAN10[SwitchA]vlan 102. 将E0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 0/13. 创建（进入）VLAN接口10[SwitchA]interface Vlan-interface 104. 为VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.05. 在VLAN接口10上选择全局地址池方式分配IP地址[SwitchA-Vlan-interface10]dhcp select global6. 创建全局地址池，并命名为”vlan10”[SwitchA]dhcp server ip-pool vlan107. 配置vlan10地址池给用户分配的地址范围以及用户的网关地址[SwitchA-dhcp-vlan10]network 10.1.1.0 mask 255.255.255.0 [SwitchA-dhcp-vlan10]gateway-list 10.1.1.18. 禁止将PC机的网关地址分配给用户[SwitchA]dhcp server forbidden-ip 10.1.1.1【补充说明】以上配置以VLAN10的为例，VLAN20的配置参照VLAN10的配置即可。

DHCP命令合集DHCP 全局地址池<Sysname> system-view[Sysname] dhcp enable 使能DHCP服务[Sysname] dhcp server ip-pool 0 创建标识为0的DHCP普通模式地址池[Sysname-dhcp-pool-0] network 192.168.8.0 mask 255.255.255.0 配置DHCP地址池0动态分配的地址范围为192.168.8.0/24[Sysname-dhcp-pool-0] gateway-list 10.110.1.99配置DHCP地址池0为DHCP客户端分配的网关地址为10.110.1.99[Sysname-dhcp-pool-0] dns-list 10.1.1.254配置DHCP地址池0为DHCP客户端分配的DNS服务器地址为10.1.1.254[Sysname-dhcp-pool-0] expired day 1 hour 2 minute 3 配置地址池0的IP地址租用有效期为1天2小时3分。

[Sysname-dhcp-pool-0] domain-name 配置DHCP地址池0为DHCP客户端分配的域名后缀为[Sysname-dhcp-pool-0] netbios-type b-node配置DHCP地址池0为DHCP客户端分配的NetBIOS节点类型为b-node[Sysname-dhcp-pool-0] nbns-list 10.12.1.99配置DHCP地址池0为DHCP 客户端分配WINS服务器地址为10.12.1.99[Sysname] dhcp server forbidden-ip 10.110.1.1 10.110.1.63 将10.110.1.1到10.110.1.63之间的IP地址保留，不参与地址自动分配[Sysname-dhcp-pool-0] static-bind ip-address 10.1.1.1 mask 255.255.255.0[Sysname-dhcp-pool-0] static-bind mac-address 0000-e03f-0305将MAC地址为0000-e03f-0305的PC机与IP地址10.1.1.1绑定，掩码为255.255.255.0[Sysname-Vlan-interface1] dhcp select server global-pool配置VLAN接口1工作在DHCP服务器模式[Sysname] dhcp server detect使能伪DHCP服务器检测功能DHCP全局地址池查看命令display dhcp server conflict 显示DHCP的地址冲突统计信息display dhcp server expired 显示所有DHCP地址池中的租约超期信息display dhcp server free-ip 显示DHCP地址池的可用地址信息display dhcp server forbidden-ip 显示DHCP地址池中不参与自动分配的IP地址display dhcp server ip-in-use 显示所有DHCP地址池的地址绑定信息display dhcp server statistics 显示DHCP服务器的统计信息display dhcp server tree 显示所有DHCP地址池的信息DHCP扩展地址池<Sysname> system-view[Sysname] dhcp server ip-pool 0 extended配置扩展模式地址池0 [Sysname-dhcp-pool-0] network ip range 192.168.8.1 192.168.8.150动态分配的地址范围为192.168.8.1到192.168.8.150[Sysname-dhcp-pool-0] network mask 255.255.255.0配置扩展模式地址池0动态分配的IP地址掩码为255.255.255.0[Sysname-dhcp-pool-0] forbidden-ip 192.168.1.3 192.168.1.10 配置DHCP扩展模式地址池0中不参与分配的IP地址为192.168.1.3和192.168.1.10其他比如网关比如DNS 同上[Sysname-Vlan-interface1] dhcp server apply ip-pool 0配置VLAN接口1引用DHCP扩展模式地址池0 必须要输入，否则在扩展DHCP模式下客户端获取不到IP ！DHCP中继模式# 配置DHCP服务器组1的服务器IP地址为1.1.1.1。

华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性，在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再使能接口或VLAN下的DHCP Snooping功能。

图1 配置DHCP Snooping基本功能组网图如上图1所示，Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP服务器。

以Switch_1为例，在使能DHCP Snooping功能时需要注意：使能DHCP Snooping功能之前，必须已使用命令dhcp enable使能了设备的DHCP功能。

全局使能DHCP Snooping功能后，还需要在连接用户的接口（如图中的接口if1、if2和if3）或其所属VLAN（如图中的VLAN 10）使能DHCP Snooping 功能。

当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN 使能DHCP Snooping功能。

请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。

1、使能DHCP Snooping功能[Huawei]dhcp snooping enable ?ipv4 DHCPv4 Snoopingipv6 DHCPv6 Snoopingvlan Virtual LAN<cr>或[Huawei]dhcp snooping over-vpls enable # 使能设备在VPLS网络中的DHCP Snooping功能或[Huawei-vlan2]dhcp snooping enable[Huawei-GigabitEthernet0/0/3]dhcp snooping enable2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted或[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/63、去使能DHCP Snooping用户位置迁移功能在移动应用场景中，若某一用户由接口A上线后，切换到接口B重新上线，用户将发送DHCP Discover报文申请IP地址。

DHCP Snooping功能与实例详解一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP 服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR （也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

H3C交换机DHCP服务器接⼝地址池典型配置指导1.2 DHCP服务器接⼝地址池典型配置指导1.2.1 组⽹图图1-2 DHCP服务器接⼝地址池配置举例1.2.2 应⽤要求●Switch A作为DHCP服务器，其VLAN接⼝1的IP地址为192.168.0.1/24；●客户端属于VLAN1，通过DHCP⽅式动态获取IP地址；●DHCP服务器通过接⼝地址池为MAC地址为000D-88F7-0001的客户⽂件服务器分配固定的IP地址192.168.0.10/24，为其它客户端主机分配192.168.0.0/24⽹段的IP地址，有效期限为10天。

DNS服务器地址为192.168.0.20/24，WINS服务器地址为192.168.0.30/24。

1.2.3 适⽤产品、版本表1-2 配置适⽤的产品与软硬件版本关系1.2.4 配置过程和解释# 使能DHCP服务system-view[SwitchA] dhcp enable# 配置不参与⾃动分配的IP地址（DNS服务器、WINS服务器、⽂件服务器）[SwitchA] dhcp server forbidden-ip 192.168.0.10[SwitchA] dhcp server forbidden-ip 192.168.0.20[SwitchA] dhcp server forbidden-ip 192.168.0.30# 配置VLAN接⼝1的IP地址为192.168.0.1/24[SwitchA] interface Vlan-interface 1[SwitchA-Vlan-interface1] ip address 192.168.0.1 24# 配置VLAN接⼝1⼯作在DHCP接⼝地址池模式[SwitchA-Vlan-interface1] dhcp select interface# 配置DHCP接⼝地址池中的静态绑定地址[SwitchA-Vlan-interface1] dhcp server static-bind ip-address 192.168.0.10 mac-address000D-88F7-0001# 配置DHCP接⼝地址池的地址池范围、DNS服务器地址、WINS服务器地址[SwitchA-Vlan-interface1] dhcp server expired day 10[SwitchA-Vlan-interface1] dhcp server dns-list 192.168.0.20[SwitchA-Vlan-interface1] dhcp server nbns-list 192.168.0.30[SwitchA-Vlan-interface1] quit1.2.5 完整配置#interface Vlan-interface1ip address 192.168.0.1 255.255.255.0dhcp select interfacedhcp server static-bind ip-address 192.168.1.10 mac-address 000d-88f7-0001dhcp server dns-list 192.168.0.20dhcp server nbns-list 192.168.0.30dhcp server expired day 10#dhcp server forbidden-ip 192.168.0.10dhcp server forbidden-ip 192.168.0.20dhcp server forbidden-ip 192.168.0.30#1.2.6 配置注意事项当DHCP服务器采⽤接⼝地址池模式分配地址时，在接⼝地址池中的地址分配完之后，将会从包含该接⼝地址池⽹段的全局地址池中挑选IP地址分配给客户端，从⽽导致获取到全局地址池地址的客户端与获取到接⼝地址池地址的客户端处在不同⽹段，⽆法正常进⾏通信。

H3C S5130-EI DHCP Snooping 典型配置举例目录1 简介 (1)2 配置前提 (1)3 DHCP Snooping配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (2)3.3 使用版本 (2)3.4 配置步骤 (2)3.5 验证配置 (5)3.6 配置文件 (6)4 相关资料 (7)1 简介本文档介绍了DHCP Snooping 相关应用的配置举例。

2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解DHCP 相关特性。

3 DHCP Snooping配置举例3.1 组网需求如图1 所示，某科研机构有三个项目组，分布在不同的楼层中，通过楼层间的DHCP Snooping 设备与DHCP Server相连。

为了方便管理，希望通过DHCP 服务器统一分配IP 地址，同时要求：•根据项目组的规模，分配不同范围的IP 地址，为group1 分配192.168.0.2～192.168.0.39之间的IP 地址，为group2 分配192.168.0.40～192.168.0.99 之间的IP 地址，为group3 分配192.168.0.100～192.168.0.200 之间的IP 地址；•保证客户端从合法的服务器获取IP 地址；•禁止用户通过配置静态IP 地址的方式接入网络。

图1 DHCP Snooping 配置组网图UnauthorizedDHCP serverDHCP snoopingDevice A GE1/0/4GE1/0/1 GE1/0/2 GE1/0/1 GE1/0/2Vlan-int2 192.168.0.1GE1/0/1Group1 GE1/0/3 GE1/0/3 DHCP snoopingDevice C DHCP server Device DGE1/0/1 GE1/0/4GE1/0/2Group2 GE1/0/3 DHCP snoopingDevice B Group33.2 配置思路•在多个DHCP Snooping设备级联的网络中，为了节省系统资源，不需要每台DHCP Snooping设备都记录所有DHCP客户端的IP地址和MAC地址的绑定信息，只需在与客户端直接相连的不信任端口上记录绑定信息。

一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR 字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC 地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，如果大量发送的话也会耗尽网络带宽，形成另一种拒绝服务攻击。

h3cdhcpsnooping1. 组⽹需求Switch B通过以太⽹端⼝Ethernet1/1连接到DHCP服务器，通过以太⽹端⼝Ethernet1/2、Ethernet1/3连接到DHCP客户端。

要求：l与DHCP服务器相连的端⼝可以转发DHCP服务器的响应报⽂，⽽其他端⼝不转发DHCP服务器的响应报⽂。

l记录DHCP-REQUEST和信任端⼝收到的DHCP-ACK⼴播报⽂中DHCP客户端IP地址及MAC地址的绑定关系。

配置步骤# 使能DHCP Snooping功能。

<SwitchB> system-view[SwitchB] dhcp-snooping# 配置Ethernet1/1端⼝为信任端⼝。

[SwitchB] interface ethernet 1/1[SwitchB-Ethernet1/1] dhcp-snooping trust[SwitchB-Ethernet1/1] quit⽀持Option 82配置举例1. 组⽹需求lSwitch B上使能DHCP Snooping功能，并⽀持Option 82功能；l对包含Option 82的请求报⽂的处理策略为replace；l在Ethernet1/2上配置Ciruict ID填充内容为company001，Remote ID填充内容为device001；l在Ethernet1/3上配置以verbose模式填充Option 82，接⼊节点标识为sysname，填充格式为ASCII格式。

lSwitch B将添加Option 82的DHCP请求报⽂转发给DHCP服务器Switch A，使得DHCP客户端可以获取到IP地址。

3. 配置步骤# 使能DHCP Snooping功能。

<SwitchB> system-view[SwitchB] dhcp-snooping# 配置Ethernet1/1端⼝为信任端⼝。

[SwitchB] interface ethernet 1/1[SwitchB-Ethernet1/1] dhcp-snooping trust[SwitchB-Ethernet1/1] quit# 在Ethernet1/2上配置DHCP Snooping⽀持Option 82功能。

如图所示，需求如下：1、所有交换机互联端口均为trunk口，并允许所有VLAN通过2、客户端需要从dhcp服务器获取地址，但网关不在dhcp服务器上，网关在右侧交换机，dhcp服务器交换机只有一个管理地址110.189.70.113、模拟客户端交换机启用SVI接口VLAN 110，并且配置地址时允许自动获取DHCP服务器配置：interface Vlan-interface70ip address 10.189.70.11 255.255.255.0#dhcp enablevlan 70vlan 110#dhcp server ip-pool vlan110gateway-list 10.189.74.1network 10.189.74.0 mask 255.255.254.0#interface GigabitEthernet1/0/1port link-mode bridgeport link-type trunkport trunk permit vlan allinterface GigabitEthernet1/0/2port link-mode bridgeport link-type trunkport trunk permit vlan all网关中继配置：System-view#dhcp enable#vlan 70#vlan 110#interface Vlan-interface70ip address 10.189.70.1 255.255.255.0 #interface Vlan-interface110ip address 10.189.74.1 255.255.254.0 dhcp select relaydhcp relay server-address 10.189.70.11 #interface GigabitEthernet1/0/1port link-mode bridgeport link-type trunkport trunk permit vlan all客户端配置:System-view##vlan 110#interface Vlan-interface110ip address dhcp-alloc#interface GigabitEthernet1/0/1port link-mode bridgeport link-type trunkport trunk permit vlan all验证配置[SW3]display ip int briefVlan110 up up 10.189.74.2 -- #[SW3]display dhcp client verboseVlan-interface110 DHCP client information:Current state: BOUNDAllocated IP: 10.189.74.2 255.255.254.0Allocated lease: 86400 seconds, T1: 40460 seconds, T2: 75600 seconds Lease from Aug 17 09:44:08 2022 to Aug 18 09:44:08 2022 DHCP server: 10.189.70.11Transaction ID: 0x10261807Default router: 10.189.74.1Client ID type: ascii(type value=00)Client ID value: 60dd.c839.0302-Vlan110Client ID (with type) hex: 0036-3064-642e-6338-3339-2e30-3330-322d-566c-616e-3131-30T1 will timeout in 0 days 10 hours 47 minutes 56 seconds。

DHCP Snooping配置介绍DHCP Snooping的原理和配置方法，并给出配置举例。

配置DHCP Snooping的攻击防范功能示例组网需求如图9-13所示，SwitchA与SwitchB为接入设备，SwitchC为DHCP Relay。

Client1与Client2分别通过GE0/0/1与GE0/0/2接入SwitchA，Client3通过GE0/0/1接入SwitchB，其中Client1与Client3通过DHCP方式获取IPv4地址，而Client2使用静态配置的IPv4地址。

网络中存在非法用户的攻击导致合法用户不能正常获取IP地址，管理员希望能够防止网络中针对DHCP的攻击，为DHCP用户提供更优质的服务。

图9-13配置DHCP Snooping的攻击防范功能组网图配置思路采用如下的思路在SwitchC上进行配置。

1.使能DHCP Snooping功能并配置设备仅处理DHCPv4报文。

2.配置接口的信任状态，以保证客户端从合法的服务器获取IP地址。

3.使能ARP与DHCP Snooping的联动功能，保证DHCP用户在异常下线时实时更新绑定表。

4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能，以防止非DHCP用户攻击。

5.使能对DHCP报文进行绑定表匹配检查的功能，防止仿冒DHCP报文攻击。

6.配置DHCP报文上送DHCP报文处理单元的最大允许速率，防止DHCP报文泛洪攻击。

7.配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能，防止DHCP Server服务拒绝攻击。

操作步骤1.使能DHCP Snooping功能。

# 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。

<HUAWEI> system-view[HUAWEI] sysname SwitchC[SwitchC] dhcp enable[SwitchC] dhcp snooping enable ipv4# 使能用户侧接口的DHCP Snooping功能。

1.2 DHCP服务器接口地址池典型配置指导1.2.1 组网图图1-2 DHCP服务器接口地址池配置举例1.2.2 应用要求●Switch A作为DHCP服务器，其VLAN接口1的IP地址为192.168.0.1/24；●客户端属于VLAN1，通过DHCP方式动态获取IP地址；●DHCP服务器通过接口地址池为MAC地址为000D-88F7-0001的客户文件服务器分配固定的IP地址192.168.0.10/24，为其它客户端主机分配192.168.0.0/24网段的IP地址，有效期限为10天。

DNS服务器地址为192.168.0.20/24，WINS服务器地址为192.168.0.30/24。

1.2.3 适用产品、版本表1-2 配置适用的产品与软硬件版本关系1.2.4 配置过程和解释# 使能DHCP服务<SwitchA> system-view[SwitchA] dhcp enable# 配置不参与自动分配的IP地址（DNS服务器、WINS服务器、文件服务器）[SwitchA] dhcp server forbidden-ip 192.168.0.10[SwitchA] dhcp server forbidden-ip 192.168.0.20[SwitchA] dhcp server forbidden-ip 192.168.0.30# 配置VLAN接口1的IP地址为192.168.0.1/24[SwitchA] interface Vlan-interface 1[SwitchA-Vlan-interface1] ip address 192.168.0.1 24# 配置VLAN接口1工作在DHCP接口地址池模式[SwitchA-Vlan-interface1] dhcp select interface# 配置DHCP接口地址池中的静态绑定地址[SwitchA-Vlan-interface1] dhcp server static-bind ip-address 192.168.0.10 mac-address000D-88F7-0001# 配置DHCP接口地址池的地址池范围、DNS服务器地址、WINS服务器地址[SwitchA-Vlan-interface1] dhcp server expired day 10[SwitchA-Vlan-interface1] dhcp server dns-list 192.168.0.20[SwitchA-Vlan-interface1] dhcp server nbns-list 192.168.0.30[SwitchA-Vlan-interface1] quit1.2.5 完整配置#interface Vlan-interface1ip address 192.168.0.1 255.255.255.0dhcp select interfacedhcp server static-bind ip-address 192.168.1.10 mac-address 000d-88f7-0001dhcp server dns-list 192.168.0.20dhcp server nbns-list 192.168.0.30dhcp server expired day 10#dhcp server forbidden-ip 192.168.0.10dhcp server forbidden-ip 192.168.0.20dhcp server forbidden-ip 192.168.0.30#1.2.6 配置注意事项当DHCP服务器采用接口地址池模式分配地址时，在接口地址池中的地址分配完之后，将会从包含该接口地址池网段的全局地址池中挑选IP地址分配给客户端，从而导致获取到全局地址池地址的客户端与获取到接口地址池地址的客户端处在不同网段，无法正常进行通信。

交换机DHCP-snooping该如何配置交换机DHCP-snooping该如何配置DHCP监听被开启后，交换机限制用户端口(非信任端口)只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文。

下面是YJBYS店铺整理的交换机DHCP-snooping的配置方法，希望对你有帮助!案例需求1.PC可以从指定DHCP Server获取到IP地址;2.防止其他非法的DHCP Server影响网络中的主机。

参考如下如完成配置：DHCP Snooping配置步骤1.进入系统视图system-view2.全局使能dhcp-snooping功能[H3C]dhcp-snooping3.进入端口E1/0/2[H3C] interface Ethernet 1/0/23.将端口E1/0/2配置为trust端口，[H3C-Ethernet1/0/2]dhcp-snooping trustDHCP Snooping配置关键点1.当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的`DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。

另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。

信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。

这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址;2.由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文―“dhcp offer”报文，由E1/0/2端口进入交换机并进行转发，因此需要将端口E1/0/2配置为“trust”端口。

如果交换机上行接口配置为Trunk端口，并且连接到DHCP中继设备，也需要将上行端口配置为“trust”端口。

【交换机DHCP-snooping该如何配置】。

华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性，在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再使能接口或VLAN下的DHCP Snooping功能。

图1 配置DHCP Snooping基本功能组网图如上图1所示，Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP服务器。

以Switch_1为例，在使能DHCP Snooping功能时需要注意：使能DHCP Snooping功能之前，必须已使用命令dhcp enable使能了设备的DHCP功能。

全局使能DHCP Snooping功能后，还需要在连接用户的接口（如图中的接口if1、if2和if3）或其所属VLAN（如图中的VLAN 10）使能DHCP Snooping 功能。

当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN 使能DHCP Snooping功能。

请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。

1、使能DHCP Snooping功能[Huawei]dhcp snooping enable ?ipv4 DHCPv4 Snoopingipv6 DHCPv6 Snoopingvlan Virtual LAN<cr>或[Huawei]dhcp snooping over-vpls enable # 使能设备在VPLS网络中的DHCP Snooping功能或[Huawei-vlan2]dhcp snooping enable[Huawei-GigabitEthernet0/0/3]dhcp snooping enable2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted或[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/63、去使能DHCP Snooping用户位置迁移功能在移动应用场景中，若某一用户由接口A上线后，切换到接口B重新上线，用户将发送DHCP Discover报文申请IP地址。