开启Cisco交换机DHCP Snooping功能（2）

三、DHCP Option 82

    当DHCP服务器和客户端不在同一个子网内时，客户端要想从DHCP服务器上分配到IP地址，就必须由DHCP中继代理（DHCP Relay Agent）来转发DHCP请求包。DHCP中继代理将客户端的DHCP报文转发到DHCP服务器之前，可以插入一些选项信息，以便DHCP服务器能更精确的得知客户端的信息，从而能更灵活的按相应的策略分配IP地址和其他参数。这个选项被称为：DHCP relay agent information option（中继代理信息选项），选项号为82，故又称为option 82，相关标准文档为RFC3046。Option 82是对DHCP选项的扩展应用。选项82只是一种应用扩展，是否携带选项82并不会影响DHCP原有的应用。另外还要看DHCP服务器是否支持选项82。不支持选项82的DHCP服务器接收到插入了选项82的报文，或者支持选项82的DHCP服务器接收到了没有插入选项82的报文，这两种情况都不会对原有的基本的DHCP服务造成影响。要想支持选项82带来的扩展应用，则DHCP服务器本身必须支持选项82以及收到的DHCP报文必须被插入选项82信息。从非信任端口收到DHCP请求报文，不管DHCP服务器和客户端是否处于同一子网，开启了DHCP监听功能的Cisco交换机都可以选择是否对其插入选项82信息。默认情况下，交换机将对从非信任端口接收到的DHCP请求报文插入选项82信息。

    当一台开启DHCP监听的汇聚交换机和一台插入了选项82信息的边界交换机（接入交换机）相连时：

    ●如果边界交换机是连接到汇聚交换机的信任端口，那么汇聚交换机会接收从信任端口收到的插入选项82的DHCP报文信息，但是汇聚交换机不会为这些信息建立DHCP监听绑定表条目。
    ●如果边界交换机是连接到汇聚交换机的非信任端口，那么汇聚交换机会丢弃从该非信任端口收到的插入了选项82的DHCP报文信息。但在IOS 12.2（25）SE版本之后，汇聚交换机可以通过在全局模式下配置一条ip DHCP snooping information allow-untrusted命令。这样汇聚交换机就会接收从边界交换机发来的插入选项82的DHCP报文信息，并且也为这些信息建立DHCP监听绑定表条目。
    在配置汇聚交换机下联口时，将根据从边界交换机发送过来的数据能否被信任而设置为信任或者非信任端口。

   

Switch(config)#ip DHCP snooping                  //打开DHCP snooping功能 Switch(config)#ip DHCP snooping vlan 10                  //设置DHCP snooping功能将作用于哪些VLAN Switch(config)#ip DHCP snooping verify mac-address                  //检测非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同，以防止DHCP耗竭攻击，该功能默认即为开启 Switch(config-if)#ip DHCP snooping trust                  //配置接口为DHCP监听特性的信任接口，所有接口默认为非信任接口 Switch(config-if)#ip DHCP snooping limit rate 15                  //限制非信任端口的DHCP报文速率为每秒15个包（默认即为每秒15个包）如果不配该语句，则show ip DHCP snooping的结果里将不列出没有该语句的端口，可选速率范围为1-2048 建议：在配置了端口的DHCP报文限速之后，最好配置以下两条命令 Switch(config)#errdisable recovery cause DHCP-rate-limit                  //使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复 Switch(config)#errdisable recovery interval 30                  //设置恢复时间；端口被置为err-disable状态后，经过30秒时间才能恢复 Switch(config)#ip DHCP snooping information option                  //设置交换机是否为非信任端口收到的DHCP报文插入Option 82，默认即为开启状态 Switch(config)#ip DHCP snooping information option allow-untrusted                 //设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文 Switch#ip DHCP snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 expiry 692000                  //特权模式命令；手工添加一条DHCP监听绑定条目；expiry为时间值，即为监听绑定表中的lease（租期