一、文章背景

本文介绍了使用华为路由器和交换机组网络，

https://www.toutiao.com/i6949536363691639303/，实现DHCP Snooping许多粉丝鼓励功能，有粉丝建议用交换机组网实现这个功能，最好简单实用。

以下是一个满足一些粉丝要求的案例。

简单理解一下DHCP Snooping

在一次DHCP动态获取客户端IP在地址过程中，DHCP Snooping客户端端和服务器之间DHCP分析和过滤报纸，防止用户非法获取DHCP无法上网的服务器提供的地址。

一般来说，企业网络中存在私人建筑DHCP有两种常见的服务器现象来源：

· ?

一般来说，企业网络中存在私人建筑DHCP有两种常见的服务器现象来源：

· ?个别终端在网络中使用Windows Server 默认打开2003或2008系统DHCP分配IP的服务。

· ?一些接入层的端口连接已经打开DHCP分配IP无线路由器的服务。

建议您部署接入层交换机DHCP Snooping功能，越近PC端口控制得越准确。建议每个交换机的端口只连接一个PC，否则，如果交换机在某个端口下串联一个Hub，在Hub几个连接在上面PC如果你碰巧应该的话，Hub下发生DHCP欺骗，因为欺骗报纸都在Hub端口间直接转发，未接入层交换机DHCP Snooping这种欺骗是无法预防的。

二、网络需求

如拓扑图所示，SW二是接入交换机，下挂PC采用DHCP获取IP地址。SW1.部署核心交换机DHCP服务器功能。

四、配置过程

4.1.核心交换机SW1上配置

4.1.1基础配置

默认情况下，将相应的端口添加到交换机中vlan 1

<Huawei>sys

[Huawei]sys sw1

[sw1]int g0/0/1

[sw1-GigabitEthernet0/0/1]port link-type trunk

给vlan1虚拟接口vlanif1设置IP

使vlanif1作为vlan1的网关

[sw1]int vlan 1

[sw1-Vlanif1]ip addr

基于接口地址池的分配IP地址功能

[sw1]dhcp enable

[sw1]int vlan 1

4.2配置DHCP Snooping功能

4.2.1接入交换机SW2上配置

基础配置

默认情况下，将相应的端口添加到交换机中vlan 1

<Huawei>sys

[Huawei]sys sw2

[sw2]int g0/0/1

[sw2-GigabitEthernet0/0/1]port link-type trunk

[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 1

[sw2-GigabitEthernet0/0/1]int g0/0/2

[sw2-GigabitEthernet0/0/2]port link-type access

[sw2-GigabitEthernet0/0/2]port default vlan 1

[sw2-GigabitEthernet0/0/2]int g0/0/3

[sw2-GigabitEthernet0/0/3]port link-type access

在此配置中，默认端口类型为真机access,默认属于vlan1.小伙伴可以不配置g0/0/2口和g试试0/0/3口。但默认的模拟器端口类型是hybrid。但默认的模拟器端口类型是hybrid。

4.3使能全局DHCP Snooping功能

仅处理配置设备DHCPv报文，节约设备CPU利用率。

[sw2]dhcp enable

使用户侧接口DHCP Snooping功能

[sw2]int g0/0/2

[sw2-GigabitEthernet0/0/2]dhcp snooping enable

[sw2]int g0/0/3

配置为信任接口，接入交换机只处理接口收到的接口DHCP服务器响应报文

[sw2]int g0/0/1

五、验证

接入层交换机SW2上

<sw2>dis dhcp snooping configuration

核心交换机SW1上

查看已在地址池中使用的地址池IP地址信息

<sw1>dis ip pool int vlan1 used

接入层交换机SW2上执行命令

在vlan1中开启IPSG（(IP Source Guard）功能，从而实现IP与MAC的绑定巡查

[sw2-vlan1]ip source check user-bind enable