使用交换机的dhcp snooping拒绝非法dhcp服务

    

我在 2010年 8月的时候，在陕西某化工集团做了一个园区网的项目，记得当时整个园区的大的架构做完以后，甲方要求，宿舍楼的网络要求做出更改，由原来的静态的分配 ip地址变更为 DHCP自动获取。

其实此次变更还是蛮顺利的，在将核心交换机上配置了 DHCP的服务之后， 3栋公寓楼的 vlan101-106总共 6个 vlan，大部分计算机都可以正常获取到 ip地址正常上网了，在 vlan101中，计算机数量并不多，该 vlan提供的 dhcp pool 是 10.20.101.0，正常情况下，该 vlan的所有计算机，获取到的 ip地址应该是 10.20.101.x地址。有用户反映说，计算机获取到地址，但是不能上网。

当时我很纳闷，把自己的笔记本电脑，接入到属于 vlan101的接口上，看到获取到的地址后，我乐了，我获取到了 192.168.1.101的 ip地址，一开始我还考虑过，应该使用 sniffer抓包工具，抓取下，是谁在发送 DHCP的报文，影响到了交换机的 dhcp的服务，后来打消了这个念头。很显然，不用测试，只去看 192.168.1.101这个 ip地址，就不难想到，这个地址是平常我们家用的 soho的路由器提供的地址，可能是某个宿舍的哥们儿，因为宿舍信息口不够用，自己私自接了个小路由器，当交换机用，他哪里知道，影响了整个 vlan的 DHCP的服务。

如图：

懒得去管到底是哪个宿舍的兄弟影响了网络的 dhcp的正常服务。

配置 DHCP Snooping

DHCP 监听（ DHCP Snooping ）是一种 DHCP 安全特性。 Cisco 交换机支持在每个 VLAN 基础上启用 DHCP 监听特性。通过这种特性，交换机能够拦截第二层 VLAN 域内的所有 DHCP 报文。
    DHCP 监听将交换机端口划分为两类：

● 非信任端口：通常为连接终端设备的端口，如 PC ，网络打印机等
    ● 信任端口：连接合法 DHCP 服务器的端口或者连接汇聚交换机的上行端口
     通过开启 DHCP 监听特性，交换机限制用户端口（非信任端口）只能够发送 DHCP 请求，丢弃来自用户端口的所有其它 DHCP 报文，

  我对接入交换机进行了如下配置：

Switch(config)#ip dhcp snooping                  // 打开 DHCP Snooping 功能
Switch(config)#ip dhcp snooping vlan 10                  // 设置 DHCP Snooping 功能将作用于哪些 VLAN

做了以上配置以后，打开了交换机得 dhcp snooping 功能，则所有接口默认状态下，变成了 untrust 端口，即非信任接口，只能够通过 dhcp 的请求报文，但是不能通过 dhcp 的其他报文，例如 dhcp 的 offer 报文。这样就能够在图中的 G0/3 口拒绝了来自 soho 路由器的 DHCP 的 offer 报文。

如果此时你接入一台笔记本上满怀信心的去获取 ip 地址，那你就会发现， pc 是根本无法获取到 ip 地址的，因为进行了以上的配置以后，所有的接口默认都会把 dhcp 的 offer 的报文拒绝掉，包括和核心交换机连接的 G0/24 口，还需要进行以下配置

Config t

Int G0/24

IP dhcp snooping trust      将该接口设置为信任接口，开始正常接收 dhcp 的报文

此时电脑可以正确的获取到 ip 地址，正常上网了。