华为dhcpsnooping配置实例

DHCP Snooping功能与实例详解架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP 服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，如果大量发送的话也会耗尽网络带宽，形成另一种拒绝服务攻击。

华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP平安特性，在配置DHCP Snooping各平安功能之前需首先使能DHCP Snooping功能。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再使能接口或VLAN下的DHCP Snooping功能。

图1配置DHCP Snooping根本功能组网图如上图1所示，Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP 效劳器。

以Switch_1为例，在使能DHCP Snooping功能时需要注意：使能DHCP Snooping功能之前，必须已使用命令dhcp enable使能了设备的DHCP功能。

全局使能DHCP Snooping功能后，还需要在连接用户的接口〔如图中的接口if1、if2和if3〕或其所属VLAN〔如图中的VLAN 10〕使能DHCP Snooping功能。

当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN 使能DHCP Snooping功能。

请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。

1、使能DHCP Snooping功能[Huawei]dhcp snooping enable ?ipv4DHCPv4 Snoopingipv6DHCPv6 Snoopingvlan Virtual LAN<cr>或[Huawei]dhcp snooping over-vpls enable#使能设备在VPLS网络中的DHCP Snooping功能或[Huawei-vlan2]dhcp snooping enable[Huawei-GigabitEthernet0/0/3]dhcp snooping enable2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted或[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/63、去使能DHCP Snooping用户位置迁移功能在移动应用场景中，假设某一用户由接口A上线后，切换到接口B重新上线，用户将发送DHCP Discover报文申请IP地址。

HuaweiDHCP中继配置实例配置DHCP中继⽰例组⽹需求如DHCP服务器应当配置⼀个10.100.0.0/16⽹段的IP地址池，DNS服务器地址为10.100.1.2/16，NetBIOS服务器地址10.100.1.3/16，出⼝⽹关地址10.100.1.4，并且DHCP服务器上应当配置有到10.100.0.0/16⽹段的路由。

图1 配置DHCP中继组⽹图配置思路DHCP服务器的配置思路如下：1. 使能DHCP中继服务器S-switch的DHCP功能2. 配置接⼝VLANIF2的地址3. 在接⼝VLANIF1配置IP以及中继地址并使能接⼝的DHCP中继功能4. 配置DHCP服务器Router到10.100.0.0/16⽹段的路由5. 使能Router的DHCP功能6. 配置Router的接⼝GE0/0/1下的客户端从全局地址池中获取IP地址7. 在Router上配置全局地址池数据准备完成此配置举例，需要准备以下数据：· 要实现DHCP中继功能的接⼝的IP地址· DHCP服务器的地址配置步骤1. 在DHCP中继上进⾏配置# 使能DHCP服务。

<Quidway> system-view[Quidway] sysname S-switch[S-switch] dhcp enable# 配置接⼝VLANIF2的地址。

[S-switch] interface vlanif 2[S-switch-Vlanif2] ip address 202.40.1.1 255.255.0.0[S-switch-Vlanif2] quit# 进⼊要实现DHCP中继功能的接⼝，为其配置IP地址、⼦⽹掩码和DHCP中继地址。

[S-switch] interface vlanif 1[S-switch-Vlanif1] ip address 10.100.1.1 255.255.0.0[S-switch-Vlanif1] ip relay address 202.40.1.2[S-switch-Vlanif1] dhcp select relay[S-switch-Vlanif1] quit2. 在DHCP服务器上进⾏配置# 配置Router到S-switch与客户端相连接⼝VLANIF1的路由。

华为路由器I P地址及D H C P的设置方法本页仅作为文档封面，使用时可以删除This document is for reference only-rar21year.March华为路由器IP地址及DHCP的设置方法首先我们要通过consol口连接到路由器，自备consol线，点击“开始”->“所有程序”->“附件”->“通讯”->“超级终端”（如果没有超级终端的话，需要使用到安装光盘在添加删除组件中添加上它或使用类似于SecureCRT等软件进行连接）。

在出现的窗口中选择com3口如下图；点击配置进入新窗口并按图中的设置进行配置，设置好以后点击“应用”，如下图：选择“设置”选项卡将“终端仿真”设置成VT100，点击“确定”。

如下图：这样的话我们就可以成功的登录路由器了。

成功登录路由器以后按下面进行配置：<>system-view /*进入系统模式*/[]dhcp enable /*开启dhcp服务*/[]dhcp snooping enable /*开启dhcp过滤功能*/-----------------------------------[]interface e0/0/0 /*进入e/0/0接口*/[]ip address /*为e0/0/0配置IP地址*/[]dhcp select global /*dhcp从全局获取*/[]quit /*退出*/-------------------------------------[]ip pool 1 /*创建地址池*/[ip-pool-1]gateway-list /*网关地址*/[ip-pool-1]network mask /*需要启用dhcp服务的网络*/[ip-pool-1]dns-list /*dns列表*/[ip-pool-1]excluded-ip-address /*不参与dhcp分配的ip地址范围*/[ip-pool-1]lease day 10 hour 0 minute 0 /*地址租用天数*/---------------------------------------/*至此路由器下面的所有端口即可通讯了，且根据自己的IP地址对接口下的IP 地址进行分配IP地址，如果接口比较多的时候可以重复配置以上过程即可* /。

DHCP Snooping Option 82配置举例1 特性简介Option 82称为中继代理信息选项，该选项记录了DHCP client的位置信息。

DHCP snooping设备通过在DHCP请求报文中添加Option 82，将DHCP client的位置信息告诉给DHCP server，从而使得DHCP server能够为主机分配合适的IP地址和其他配置信息，并实现对客户端的安全和计费等控制。

2 应用场合图1 Option 82应用举例DHCP server通常根据请求报文中的giaddr或接收到请求报文的接口IP地址，为客户端分配IP地址。

在图1 中，DHCP服务器根据主机所在的网段，选取地址分配给Host A和Host B。

如果希望连接Ethernet1/2端口的客户端地址在某一范围，连接Ethernet1/3端口的客户端地址在另一范围，传统的地址分配方式是无法实现的。

利用Option 82，DHCP服务器根据客户端连接的DHCP snooping端口和giaddr地址来为客户端分配合适的IP地址，这样就可以满足上述需求。

Option 82能够标识不同的用户，服务器可以根据Option 82为不同的用户分配不同的IP地址，从而实现QoS、安全和计费的管理。

3 注意事项只有使能DHCP snooping功能之后，DHCP Option 82功能才能生效。

DHCP snooping不支持链路聚合。

若二层以太网接口加入聚合组，则该接口上进行的DHCP snooping配置不会生效；该接口退出聚合组后，之前的DHCP snooping配置才会生效。

设备只有位于DHCP客户端与DHCP服务器之间，或DHCP客户端与DHCP中继之间时，DHCP snooping功能配置后才能正常工作；设备位于DHCP服务器与DHCP中继之间时，DHCP snooping 功能配置后不能正常工作。

DHCP snooping option 82功能建议在最靠近DHCP client的snooping设备上使用，以达到精确定位用户位置的目的。

华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性，在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再使能接口或VLAN下的DHCP Snooping功能。

图1 配置DHCP Snooping基本功能组网图如上图1所示，Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP服务器。

以Switch_1为例，在使能DHCP Snooping功能时需要注意：使能DHCP Snooping功能之前，必须已使用命令dhcp enable使能了设备的DHCP功能。

全局使能DHCP Snooping功能后，还需要在连接用户的接口（如图中的接口if1、if2和if3）或其所属VLAN（如图中的VLAN 10）使能DHCP Snooping 功能。

当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN 使能DHCP Snooping功能。

请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。

1、使能DHCP Snooping功能[Huawei]dhcp snooping enable ?ipv4 DHCPv4 Snoopingipv6 DHCPv6 Snoopingvlan Virtual LAN<cr>或[Huawei]dhcp snooping over-vpls enable # 使能设备在VPLS网络中的DHCP Snooping功能或[Huawei-vlan2]dhcp snooping enable[Huawei-GigabitEthernet0/0/3]dhcp snooping enable2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted或[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/63、去使能DHCP Snooping用户位置迁移功能在移动应用场景中，若某一用户由接口A上线后，切换到接口B重新上线，用户将发送DHCP Discover报文申请IP地址。

DHCP Snooping功能与实例详解一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP 服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR （也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

华为路由器dhcp简单配置实例session 1 DHCP得工作原理DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)就是一个局域网得网络协议,使用UDP协议工作, 主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理得手段,在RFC 2131中有详细得描述。

DHCP有3个端口,其中UDP67与UDP68为正常得DHCP服务端口,分别作为DHCP Server与DHCP Client得服务端口;546号端口用于DHCPv6 Client,而不用于DHCPv4,就是为DHCP failover服务,这就是需要特别开启得服务,DHCP failover就是用来做“双机热备”得。

DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器得67号端口,DHCP服务器回应应答消息给主机得68号端口,DHCP得IP地址自动获取工作原理及详细步骤如下:1、DHCP Client以广播得方式发出DHCP Discover报文。

2、所有得DHCP Server都能够接收到DHCP Client发送得DHCP Discover报文,所有得DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文。

DHCP Offer报文中“Your(Client) IP Address”字段就就是DHCP Server 能够提供给DHCP Client使用得IP地址,且DHCP Server会将自己得IP地址放在“option”字段中以便DHCP Client 区分不同得DHCP Server。

DHCP Server在发出此报文后会存在一个已分配IP地址得纪录。

3、DHCP Client只能处理其中得一个DHCP Offer报文,一般得原则就是DHCP Client处理最先收到得DHCP Offer 报文。

配置DHCP Snooping功能方法一：（vlan视图）[Quidway]dhcp enable------使能全局DHCP Snooping功能[Quidway]dhcp snooping enable[Quidway]vlan 10---------------用户所属的vlan[Quidway-vlan10]dhcp snooping enable[Quidway-vlan10]dhcp snooping trusted interface GigabitEthernet0/0/16-----------上行接server的端口配置为信任端口方法二：<Quidway> system-view[Quidway] dhcp enable[Quidway] dhcp snooping enable-----使能全局DHCP Snooping功能。

[Quidway] interface gigabitethernet 0/0/2[Quidway-GigabitEthernet0/0/2] dhcp snooping enable---------所有接口下使能DHCP Snooping 功能（闲麻烦可以把这些端口加入到一个端口组来操作，见下面）[Quidway-GigabitEthernet0/0/2] quit2.配置接口的Trusted/Untrusted模式# 配置DHCP Server侧的接口为Trusted模式。

[Quidway] interface gigabitethernet 0/0/1---------DHCP Server侧的接口[Quidway-GigabitEthernet0/0/1] dhcp snooping trusted[Quidway-GigabitEthernet0/0/1]dhcp snooping enable[Quidway-GigabitEthernet0/0/1] quit端口组操作：# 将以太网端口GigabitEthernet 0/0/1加入端口组portgroup1。

H3C S5130-EI DHCP Snooping 典型配置举例目录1 简介 (1)2 配置前提 (1)3 DHCP Snooping配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (2)3.3 使用版本 (2)3.4 配置步骤 (2)3.5 验证配置 (5)3.6 配置文件 (6)4 相关资料 (7)1 简介本文档介绍了DHCP Snooping 相关应用的配置举例。

2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解DHCP 相关特性。

3 DHCP Snooping配置举例3.1 组网需求如图1 所示，某科研机构有三个项目组，分布在不同的楼层中，通过楼层间的DHCP Snooping 设备与DHCP Server相连。

为了方便管理，希望通过DHCP 服务器统一分配IP 地址，同时要求：•根据项目组的规模，分配不同范围的IP 地址，为group1 分配192.168.0.2～192.168.0.39之间的IP 地址，为group2 分配192.168.0.40～192.168.0.99 之间的IP 地址，为group3 分配192.168.0.100～192.168.0.200 之间的IP 地址；•保证客户端从合法的服务器获取IP 地址；•禁止用户通过配置静态IP 地址的方式接入网络。

图1 DHCP Snooping 配置组网图UnauthorizedDHCP serverDHCP snoopingDevice A GE1/0/4GE1/0/1 GE1/0/2 GE1/0/1 GE1/0/2Vlan-int2 192.168.0.1GE1/0/1Group1 GE1/0/3 GE1/0/3 DHCP snoopingDevice C DHCP server Device DGE1/0/1 GE1/0/4GE1/0/2Group2 GE1/0/3 DHCP snoopingDevice B Group33.2 配置思路•在多个DHCP Snooping设备级联的网络中，为了节省系统资源，不需要每台DHCP Snooping设备都记录所有DHCP客户端的IP地址和MAC地址的绑定信息，只需在与客户端直接相连的不信任端口上记录绑定信息。

DHCP SNOOPING强制用户自动获取地址接入网络配置案例一、应该场景介绍客户要求内网用户必须强制性通过DHCP服务器获取IP地址，自己手工设置的IP地址无效不能接入网络，防止用户乱改IP引起网络风暴，同时也方便管理。

客户网络比较小，就几台交换机，通过光纤连入另外地方的总部，交换机用的是S3700-28TP-EI，了解到客户需求时，我心里没底，从来没在华为的交换机上配置过，只是听说通过DHCP SNOOPING来实现，于是到处查资料，打电话，最后打电话询问厂家服务经理，还有800售后电话，他们都告诉我，电脑第一次接入网络必须通过DHCP服务器获取地址接入网络，手工设置的IP无法接入网络，但是之后由于交换机已经学习到了此电脑的MAC，之后用手工配置相同网段的地址也可以接入网络；按照配置手册上DHCP SNOOPING的步骤调试，结果果然是和厂家说的一样。

这时客户说不行要达到他们的要求，必须是每次都只能通过DHCP接入网络，正好客户认识一个做华为维保的工程师，打电话过去后，告诉我加了一条IP报文检查命令，然后做接入实验，真的就达到了客户提的要求，下面就详细介绍此案例配置过程。

二、网络环境拓扑图接入交换机上配置2个VLAN，VLAN4、VLAN5；VLAN4配置级联地址接入总部，VLAN5是终端用户的业务VLAN；在业务VLAN5上配置DHCP中继。

三、配置步骤1、开启DHCP SNOOPING(VLAN的配置过程和DHCP中继配置省略)[Quidway]dhcp enable[Quidway]dhcp snooping enable2、在业务端口上配置DHCP SNOOPING（级联端口不用做任何配置）[Quidway] interface Ethernet 0/0/2[Quidway-Ethernet0/0/2] dhcp snooping enable3、在业务端口上配置IP报文检查功能[Quidway-Ethernet0/0/2]ip source check user-bind enable这条命令式是检查dhcp snooping ip地址绑定表，和绑定表里面的IP地址匹配的数据就转发访问网络，没有则丢弃，这个就是此案例中最关键的配置。

DHCP Snooping配置介绍DHCP Snooping的原理和配置方法，并给出配置举例。

配置DHCP Snooping的攻击防范功能示例组网需求如图9-13所示，SwitchA与SwitchB为接入设备，SwitchC为DHCP Relay。

Client1与Client2分别通过GE0/0/1与GE0/0/2接入SwitchA，Client3通过GE0/0/1接入SwitchB，其中Client1与Client3通过DHCP方式获取IPv4地址，而Client2使用静态配置的IPv4地址。

网络中存在非法用户的攻击导致合法用户不能正常获取IP地址，管理员希望能够防止网络中针对DHCP的攻击，为DHCP用户提供更优质的服务。

图9-13配置DHCP Snooping的攻击防范功能组网图配置思路采用如下的思路在SwitchC上进行配置。

1.使能DHCP Snooping功能并配置设备仅处理DHCPv4报文。

2.配置接口的信任状态，以保证客户端从合法的服务器获取IP地址。

3.使能ARP与DHCP Snooping的联动功能，保证DHCP用户在异常下线时实时更新绑定表。

4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能，以防止非DHCP用户攻击。

5.使能对DHCP报文进行绑定表匹配检查的功能，防止仿冒DHCP报文攻击。

6.配置DHCP报文上送DHCP报文处理单元的最大允许速率，防止DHCP报文泛洪攻击。

7.配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能，防止DHCP Server服务拒绝攻击。

操作步骤1.使能DHCP Snooping功能。

# 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。

<HUAWEI> system-view[HUAWEI] sysname SwitchC[SwitchC] dhcp enable[SwitchC] dhcp snooping enable ipv4# 使能用户侧接口的DHCP Snooping功能。

DHCP Snooping，IPSG，DAI 配置实例（本文适用于FSM72xxRS,GSM72xxv2,GSM73xxS,GSM73xxSv2系列交换机8.0以上版本）一、网络拓扑图及说明a）拓扑图b）拓扑说明汇聚层交换机为GSM7328S,核心交换机为GSM7352S，接入层交换机为FS728TS。

GSM7328S上配置IP DHCP Snooping和DAI以及IPSG，上联和下联端口均配置802.1Q VLAN，GSM7352S上配置VLAN 路由和DHCP服务器。

FS728TS配置二层VLAN。

FS728TS的两个VLAN下各接一台电脑。

二、预配置步骤a. 配置GSM7352S上的VLAN路由和DHCP服务器i. 创建VLAN 100，200，启用VLAN100，200的路由ii. 将下联端口1/0/48划入VLAN100，200并打tagging。

iii. 设置VLAN100，200的IP分别为172.16.100.1/24和172.16.200.1/24iv. 启用DHCP服务，为VLAN100，200建立DHCP地址池。

b. 配置GSM7328S和FS728TS上的VLANi. 创建VLAN 100，200将GSM7328S上联口1/0/24，下联口1/0/2划入VLAN100，200并打tagging。

ii. FS728TS上创建VLAN 100，200，将上联口1/g2划入VLAN100，200并打tagging，将下联的端口1/e1和1/e2划入100，1/e3和1/e4划入VLAN200，修改1/e1和1/e2的PVID为100，1/e3和1/e4的PVID为200。

三、DHCP Snooping配置步骤a)启用DHCP Snooping功能i. 从Security/Control/DHCP Snooping／GlobalConfiguration页面，将DHCP SnoopingMode改为Enable, 并添加VLAN 100，VLAN200的DHCP Snooping Mode为Enable。

交换机DHCP-snooping该如何配置交换机DHCP-snooping该如何配置DHCP监听被开启后，交换机限制用户端口(非信任端口)只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文。

下面是YJBYS店铺整理的交换机DHCP-snooping的配置方法，希望对你有帮助!案例需求1.PC可以从指定DHCP Server获取到IP地址;2.防止其他非法的DHCP Server影响网络中的主机。

参考如下如完成配置：DHCP Snooping配置步骤1.进入系统视图system-view2.全局使能dhcp-snooping功能[H3C]dhcp-snooping3.进入端口E1/0/2[H3C] interface Ethernet 1/0/23.将端口E1/0/2配置为trust端口，[H3C-Ethernet1/0/2]dhcp-snooping trustDHCP Snooping配置关键点1.当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的`DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。

另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。

信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。

这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址;2.由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文―“dhcp offer”报文，由E1/0/2端口进入交换机并进行转发，因此需要将端口E1/0/2配置为“trust”端口。

如果交换机上行接口配置为Trunk端口，并且连接到DHCP中继设备，也需要将上行端口配置为“trust”端口。

【交换机DHCP-snooping该如何配置】。

华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性，在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再使能接口或VLAN下的DHCP Snooping功能。

图1 配置DHCP Snooping基本功能组网图如上图1所示，Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP服务器。

以Switch_1为例，在使能DHCP Snooping功能时需要注意：使能DHCP Snooping功能之前，必须已使用命令dhcp enable使能了设备的DHCP功能。

全局使能DHCP Snooping功能后，还需要在连接用户的接口（如图中的接口if1、if2和if3）或其所属VLAN（如图中的VLAN 10）使能DHCP Snooping 功能。

当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN 使能DHCP Snooping功能。

请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。

1、使能DHCP Snooping功能[Huawei]dhcp snooping enable ?ipv4 DHCPv4 Snoopingipv6 DHCPv6 Snoopingvlan Virtual LAN<cr>或[Huawei]dhcp snooping over-vpls enable # 使能设备在VPLS网络中的DHCP Snooping功能或[Huawei-vlan2]dhcp snooping enable[Huawei-GigabitEthernet0/0/3]dhcp snooping enable2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted或[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/63、去使能DHCP Snooping用户位置迁移功能在移动应用场景中，若某一用户由接口A上线后，切换到接口B重新上线，用户将发送DHCP Discover报文申请IP地址。