eNSP模拟器中DHCP实验4（DHCP Snooping）

-----此实验简单的演示DHCP Snooping的配置过程----

1. 实验与拓扑图及相关说明

1. DHCP Snooping 的应用场景：如图，此时存在2个DHCP服务器，但是受信的只有DHCPServer1，无法验证DHCPServer2的安全性。所以PC1只需要从DHCPServer1处获得IP地址即可，拒绝Server2处的DHCP ack 应答报文。
2. 拓扑图说明：实验使用2台AR2220路由器充当DHCP服务器，且均已配置全局地址池模式(之前博文有提到详细配置)，DHCP Snooping的配置主要再交换机S5700上。
3. 实验前的验证：可以再两台路由器配置好DHCP地址池后，再交换机LSW1上分别宕掉GE0/0/1接口和GE0/0/2以验证PC1（开启PC后将IPv4配置切换为DHCP模式，在命令行使用 ipconfig 命令可查看PC的IP地址，切换DHCP服务器后PC的IP地址不能立即更新，所以需要使用 ipconfig /lease 释放原有的IP地址，然后再用 ipconfig /renew 命令重新获取IP地址）是否能正常获取2个地址池的地址，若都能则表示DHCP服务器能正常工作，即可开始本次实验。

2. 实验配置命令

① 使能交换机的 DHCP

[LSW1] dhcp enable

② 使能交换机的 DHCP Snooping

[LSW1] dhcp snooping enable

③ 进入VLAN1 并在VLAN1 下使能DHCP snooping 　(由于2台路由器与交换机直连的接口未进行VLAN的分配，所以默认属于VLAN1)

[LSW1] vlan 1
[LSW1-vlan1] dhcp snooping enable

④ 进入接口GE0/0/1，并将其设置为信任接口，从而使PC1 只能通过此接口获取DHCP服务器所分配的IP地址

[LSW1] int g0/0/1
[LSW1-vlan1] dhcp snooping enable

3. 实验验证

实验完成后可以先查看PC1获取到的IP地址，应该是192.168.1.0/24 网段的，然后再交换机上宕掉GE0/0/1，重新获取DHCP服务器的地址，此时尽管PC1与DHCPServer2连接，但是无法获取到DHCPServer2所分配的IP地址。然后重新连接GE0/0/1接口，PC1重新获取地址，成功向DHCPServer1请求到地址，试验成功。

．

本文部分内容含有作者的个人观点和理解，若有错误还望指出，共同学习，共同进步