已启动dhcp如何设置（华为dhcp配置详细步骤）

引用华为产品手册原文对dhcp snooping的描述：

• 配置dhcp snooping enable命令的接口，收到DHCP请求报文后，转发给所有的信任接口；收到DHCP响应报文后丢弃。
• 配置dhcp snooping trusted命令的接口，收到DHCP请求报文后，转发给所有的信任接口，如果没有其他信任接口，则丢弃该DHCP请求报文；收到DHCP响应报文后，只转发给连接对应客户端的并且配置命令dhcp snooping enable的接口，如果查不到上述接口，则丢弃该DHCP响应报文。

描述中“收到”是指接口收到外部的DHCP请求报文，例，接口连接的电脑的DHCP请求报文。收到DHCP响应报文，也是指收到外部的DHCP响应报文，例，接口上接入了一台路由器，如果网线是插路由器在LAN口，就有可能收到DHCP响应报文。

配置dhcp snooping enabler的接口，可以是交换机的物理接口，也可以是vlan视图接口（不是vlanif 接口）。

配置dhcp snooping trusted信任接口，应该是指物理接口。虽然这条命令可以配在VLAN视图接口下，但一直没搞明白有什么用。已实验用户侧与DHCP服务器在同一交换机上，即使用户侧接口使能了dhcp snooping ,VLAN视图下未配置dhcp snooping trusted ，用户侧也可以正常收到DHCP分配的IP地址，我的理解是同一设备中，接口默认是信任本设备的dhcp服务。

dhcp snooping 配置实验TOP图

DHCP服务器配置：

交换机上不必配置dhcp snooping enable

sysname dserver

#

undo info-center enable

#

vlan batch 100

#

cluster enable

ntdp enable

ndp enable

#

drop illegal-mac alarm

#

dhcp enable //开启DHCP服务

#

diffserv domain default

#

drop-profile default

#

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password simple admin

local-user admin service-type http

#

interface Vlanif1

#

interface Vlanif100

ip address 192.168.100.1 255.255.255.0

dhcp select interface //接口下启用DHCP

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1 //连接用户侧交换机

port link-type trunk

port trunk allow-pass vlan 100

用户侧交换机配置：

#

sysname usersw

#

vlan batch 100

#

dhcp enable //使能DHCP，需使能DHCP才可以使能snooping

#

dhcp snooping enable //使能 snooping

#

drop-profile default

#

vlan 100

dhcp snooping enable //vlan视图下使能snooping

#

interface Vlanif1

#

interface Vlanif100

ip address 192.168.100.2 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1 //连接DHCP交换机

port link-type trunk

port trunk allow-pass vlan 100

dhcp snooping trusted //此接口配置为信任口

#

interface GigabitEthernet0/0/2 //连接用户侧电脑

port link-type access

port default vlan 100

#

interface GigabitEthernet0/0/3 //连接用户侧电脑

port link-type access

port default vlan 100

#

interface GigabitEthernet0/0/4 //连接非法DHCP服务器 ，测试用。

port link-type trunk

port trunk allow-pass vlan 100

实验测试

1，当用户侧交换机VLAN 视图下使能dhcp snooping，但没有接口配置 dhcp snooping trusted,用户侧电脑收不到DHCP 分配的地址。

2，当用户侧VLAN视图下使能dhcp snooping,G0/0/1接口配置dhcp snooping trusted,用户侧电脑可正常收到“交换机DHCP服务器”分配的IP地址。关闭"DHCP 服务器"这台交换机，用户侧始终收不到“非法DHCP服务器”这台交换机分配的IP。

3，DHCP Snooping绑定表项可以与ARP联动，但是如果用户侧交换机未配置三层接口，用户侧交换机就不会生成ARP表项，需配置VLANIF 100接口地址，才可以生成ARP表项。