引用华为产品手册原文对dhcp snooping的描述:
- 配置dhcp snooping enable命令的接口,收到DHCP请求报文后,转发给所有的信任接口;收到DHCP响应报文后丢弃。
- 配置dhcp snooping trusted命令的接口,收到DHCP请求报文后,转发给所有的信任接口,如果没有其他信任接口,则丢弃该DHCP请求报文;收到DHCP响应报文后,只转发给连接对应客户端的并且配置命令dhcp snooping enable的接口,如果查不到上述接口,则丢弃该DHCP响应报文。
描述中“收到”是指接口收到外部的DHCP请求报文,例,接口连接的电脑的DHCP请求报文。收到DHCP响应报文,也是指收到外部的DHCP响应报文,例,接口上接入了一台路由器,如果网线是插路由器在LAN口,就有可能收到DHCP响应报文。
配置dhcp snooping enabler的接口,可以是交换机的物理接口,也可以是vlan视图接口(不是vlanif 接口)。
配置dhcp snooping trusted信任接口,应该是指物理接口。虽然这条命令可以配在VLAN视图接口下,但一直没搞明白有什么用。已实验用户侧与DHCP服务器在同一交换机上,即使用户侧接口使能了dhcp snooping ,VLAN视图下未配置dhcp snooping trusted ,用户侧也可以正常收到DHCP分配的IP地址,我的理解是同一设备中,接口默认是信任本设备的dhcp服务。
dhcp snooping 配置实验TOP图
DHCP服务器配置:
交换机上不必配置dhcp snooping enable
sysname dserver
#
undo info-center enable
#
vlan batch 100
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
dhcp enable //开启DHCP服务
#
diffserv domain default
#
drop-profile default
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin
local-user admin service-type http
#
interface Vlanif1
#
interface Vlanif100
ip address 192.168.100.1 255.255.255.0
dhcp select interface //接口下启用DHCP
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1 //连接用户侧交换机
port link-type trunk
port trunk allow-pass vlan 100
用户侧交换机配置:
#
sysname usersw
#
vlan batch 100
#
dhcp enable //使能DHCP,需使能DHCP才可以使能snooping
#
dhcp snooping enable //使能 snooping
#
drop-profile default
#
vlan 100
dhcp snooping enable //vlan视图下使能snooping
#
interface Vlanif1
#
interface Vlanif100
ip address 192.168.100.2 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1 //连接DHCP交换机
port link-type trunk
port trunk allow-pass vlan 100
dhcp snooping trusted //此接口配置为信任口
#
interface GigabitEthernet0/0/2 //连接用户侧电脑
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/3 //连接用户侧电脑
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/4 //连接非法DHCP服务器 ,测试用。
port link-type trunk
port trunk allow-pass vlan 100
实验测试
1,当用户侧交换机VLAN 视图下使能dhcp snooping,但没有接口配置 dhcp snooping trusted,用户侧电脑收不到DHCP 分配的地址。
2,当用户侧VLAN视图下使能dhcp snooping,G0/0/1接口配置dhcp snooping trusted,用户侧电脑可正常收到“交换机DHCP服务器”分配的IP地址。关闭"DHCP 服务器"这台交换机,用户侧始终收不到“非法DHCP服务器”这台交换机分配的IP。
3,DHCP Snooping绑定表项可以与ARP联动,但是如果用户侧交换机未配置三层接口,用户侧交换机就不会生成ARP表项,需配置VLANIF 100接口地址,才可以生成ARP表项。