全局开启DHCP Snooping配置举例
- 组网需求
Router B通过以太网端口Ten-GigabitEthernet0/0/6连接到合法DHCP服务器,通过以太网端口Ten-GigabitEthernet0/0/8连接到非法DHCP服务器,通过Ten-GigabitEthernet0/0/7连接到DHCP客户端。要求:
· 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。
- 组网图
图1-4 DHCP Snooping组网示意图
- 配置步骤
全局开启DHCP Snooping功能。
<RouterB> system-view[RouterB] dhcp snooping enable
设置Ten-GigabitEthernet0/0/6端口为信任端口。
[RouterB] interface ten-gigabitethernet 0/0/6[RouterB-Ten-GigabitEthernet0/0/6] dhcp snooping trust[RouterB-Ten-GigabitEthernet0/0/6] quit
在Ten-GigabitEthernet0/0/7上开启DHCP Snooping表项功能。
[RouterB] interface ten-gigabitethernet 0/0/7[RouterB-Ten-GigabitEthernet0/0/7] dhcp snooping binding record[RouterB-Ten-GigabitEthernet0/0/7] quit
- 验证配置
配置完成后,DHCP客户端只能从合法DHCP服务器获取IP地址和其它配置信息,非法DHCP服务器无法为DHCP客户端分配IP地址和其他配置信息。且使用display dhcp snooping binding可查询到获取到的DHCP Snooping表项。
1.14.2 按VLAN开启DHCP Snooping配置举例
- 组网需求
Router B通过以太网端口Ten-GigabitEthernet0/0/6连接到合法DHCP服务器,通过以太网端口Ten-GigabitEthernet0/0/8连接到非法DHCP服务器,通过Ten-GigabitEthernet0/0/7连接到DHCP客户端。要求:
· VLAN 100上与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。
- 组网图
图1-5 按VLAN开启DHCP Snooping配置组网示意图
3. 配置步骤
配置端口Ten-GigabitEthernet0/0/6、Ten-GigabitEthernet0/0/7和Ten-GigabitEthernet0/0/8为Access端口,允许VLAN 100通过。
<RouterB> system-view[RouterB] vlan 100[RouterB-vlan100] port ten-gigabitethernet 0/0/6 to ten-gigabitethernet 0/0/8[RouterB-vlan100] quit
在VLAN100内开启DHCP Snooping功能。
[RouterB] dhcp snooping enable vlan 100
指定端口Ten-GigabitEthernet0/0/6为VLAN 100下DHCP Snooping功能的信任端口。
[RouterB] vlan 100[RouterB-vlan100] dhcp snooping trust interface ten-gigabitethernet 0/0/6
在VLAN 100内开启DHCP Snooping表项记录功能。
[RouterB-vlan100] dhcp snooping binding record[RouterB-vlan100] quit
- 验证配置
配置完成后,DHCP客户端只能从合法DHCP服务器获取IP地址和其它配置信息,非法DHCP服务器无法为DHCP客户端分配IP地址和其他配置信息。且使用display dhcp snooping binding可查询到获取到的DHCP Snooping表项。
