引用华为产品手册原文对dhcp snooping的描述:

描述中“收到”是指接口收到外部的DHCP请求报文,例,接口连接的电脑的DHCP请求报文。收到DHCP响应报文,也是指收到外部的DHCP响应报文,例,接口上接入了一台路由器,如果网线是插路由器在LAN口,就有可能收到DHCP响应报文。

配置dhcp snooping enabler的接口,可以是交换机的物理接口,也可以是vlan视图接口(不是vlanif 接口)。

配置dhcp snooping trusted信任接口,应该是指物理接口。虽然这条命令可以配在VLAN视图接口下,但一直没搞明白有什么用。已实验用户侧与DHCP服务器在同一交换机上,即使用户侧接口使能了dhcp snooping ,VLAN视图下未配置dhcp snooping trusted ,用户侧也可以正常收到DHCP分配的IP地址,我的理解是同一设备中,接口默认是信任本设备的dhcp服务。

dhcp snooping 配置实验TOP图

已启动dhcp如何设置(华为dhcp配置详细步骤)(1)

DHCP服务器配置:

交换机上不必配置dhcp snooping enable

sysname dserver

#

undo info-center enable

#

vlan batch 100

#

cluster enable

ntdp enable

ndp enable

#

drop illegal-mac alarm

#

dhcp enable //开启DHCP服务

#

diffserv domain default

#

drop-profile default

#

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password simple admin

local-user admin service-type http

#

interface Vlanif1

#

interface Vlanif100

ip address 192.168.100.1 255.255.255.0

dhcp select interface //接口下启用DHCP

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1 //连接用户侧交换机

port link-type trunk

port trunk allow-pass vlan 100

用户侧交换机配置:

#

sysname usersw

#

vlan batch 100

#

dhcp enable //使能DHCP,需使能DHCP才可以使能snooping

#

dhcp snooping enable //使能 snooping

#

drop-profile default

#

vlan 100

dhcp snooping enable //vlan视图下使能snooping

#

interface Vlanif1

#

interface Vlanif100

ip address 192.168.100.2 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1 //连接DHCP交换机

port link-type trunk

port trunk allow-pass vlan 100

dhcp snooping trusted //此接口配置为信任口

#

interface GigabitEthernet0/0/2 //连接用户侧电脑

port link-type access

port default vlan 100

#

interface GigabitEthernet0/0/3 //连接用户侧电脑

port link-type access

port default vlan 100

#

interface GigabitEthernet0/0/4 //连接非法DHCP服务器 ,测试用。

port link-type trunk

port trunk allow-pass vlan 100

实验测试

1,当用户侧交换机VLAN 视图下使能dhcp snooping,但没有接口配置 dhcp snooping trusted,用户侧电脑收不到DHCP 分配的地址。

2,当用户侧VLAN视图下使能dhcp snooping,G0/0/1接口配置dhcp snooping trusted,用户侧电脑可正常收到“交换机DHCP服务器”分配的IP地址。关闭"DHCP 服务器"这台交换机,用户侧始终收不到“非法DHCP服务器”这台交换机分配的IP。

3,DHCP Snooping绑定表项可以与ARP联动,但是如果用户侧交换机未配置三层接口,用户侧交换机就不会生成ARP表项,需配置VLANIF 100接口地址,才可以生成ARP表项。