DHCP SNOOPING经典配置

http://bbs.cisco-club.com.cn/archiver/tid-1048.html

大家都始终在谈ARP攻击，我觉得ARP攻击真的好对付，无非发作时一个VLAN都不通，最要命的是DHCP攻击，笔者曾与到过一例，发作时是整个网络都不通，在核心交换机上show run都无法运行，显示dhcp database无法锁定，全网瘫痪，排错断掉所有的接入，配置上DHCP SNOOPING，查出DHCP 攻击源最后解决问题，历时长达四个小时，网络恢复时叹服，网络一些技术手段闲置是设计人员的失职。现在配置共享给大家

   DHCP SNOOPING
使用的方法是采用DHCP方式为用户分配IP，然后限定这些用户只能使用动态IP的方式，如果改成静态IP的方式则不能连接上网络；也就是使用了DHCP SNOOPING功能。
[attach]443[/attach]
Dhcp snooping 配置注意事项：
1、        DHCP SNOOPING 要启动在核心层，即主机的网关；
2、        在核心层启动ip dhcp snooping information option allow-untrusted ///这个命令很关键不启动DHCP无法达到正常效果
3、        接入在DHCP  answer包来的方向接口在启动 IP DHCP SNOOPING TRUST
4、        Ip dhcp snooping database要配置，对性能优化有影响
5、        要启动NTP或者系统时钟很重要。
6、        如果配置是一个服务器做的DHCP，外架 DHCP RELAY即可
7、        
配置举例：

Switch_Test1/////////////////////////dhcp server
Ip dhcp pool test 
        Network 192.168.100.1 255.255.255.0
        Default-gateway 192.168.100.1
!
ip dhcp snooping vlan 100
ip dhcp snooping information option allow-untrusted
ip dhcp snooping database flash:/snooping
ip dhcp snooping
!
Interface vlan 1
Ip address 192.168.100.1 255.255.255.0
No shut
interface GigabitEthernet1/0/24
        switchport trunk encapsulation dot1q
        switchport mode trunk


Switch_Test2//////////////////////dhcp transpart
ip dhcp snooping vlan 100
ip dhcp snooping database flash:/snooping
ip dhcp snooping
!
interface FastEthernet1/0/22
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
!
interface FastEthernet1/0/24
  switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust


switch_test3///////////////dhcp client
ip dhcp snooping vlan 100
ip dhcp snooping database flash:/snooping
ip dhcp snooping
!
interface FastEthernet1/0/47
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust