DHCP Snooping

一、DHCP Snooping：意思是DHCP窥探，通过对client和服务器之间的DHCP交互报文的窥探，实现对用户的监控，同时DHCP Snooping起到一个DHCP报文过滤的功能，通过合理的配置实现对非法服务器的过滤，防止用户端获取到非法的DHCP服务器提供的地址而无法上网。

DHCP snooping通常配合 IP Source Guard功能实现防止用户私设静态IP，防止用户伪造IP进行内网扫描攻击的安全功能，配合ARP-Check还能实现防ARP欺骗的安全功能。

二组网拓扑

三、配置要点

1、在接入交换机上全局开启dhcp snooping功能，并且在上联核心的端口开启DHCP Snooping信任口（对正常服务器过来端口的DHCP报文不控制）

2、在核心交换机上开启DHCP Server功能

四、配置步骤

核心交换机配置

1、开启核心设备的DHCP功能

sw1(config)#service dhcp

2、创建核心设备的IP地址(用户的网关地址)

sw1(config)#interface vlan 2

sw1(config-if-vlan 2)#ip address 192.168.1.254 255.255.255.0

3、创建核心设备的DHCP地址池

sw1(config)#ip dhcp pool vlan2

sw1(dhcp-config)#network 192.168.1.0 255.255.255.0(子网掩码要和所设置IP地址的子网掩码一样)

sw1(dhcp-config)#dns-server 8.8.8.8   (设置分给客户的DNS)

sw1(dhcp-config)#default-router 192.168.1.254  (设置分给客户的网关地址，要和核心设备上所设置的IP地址一样，为192.168.1.254)

接入交换机的配置：

1、在接入交换机上开启dhcp snooping功能

sw2(config)#ip dhcp snooping  （开启DHCP Snooping功能）

2、连接DHCP服务器的接口配置为可信任口

sw2(config)#interface g 0/49

sw2(config-gigabitethernet 0/49)# ip dhcp snooping trust  (开启DHCP snooping的交换机所有接口默认为untrust口，交换机只转发从trust口收到的DHCP响应报文)

五 验证省略……