一、文章背景

　　上篇文章介绍了利用华为路由器和交换机组网，

　　https://www.toutiao.com/i6949536363691639303/，实现DHCP Snooping功能，得到许多粉丝鼓励，有的粉丝建议用交换机组网实现这个功能，简单点实用最好。

　　下面和大家分享一篇这样的案例，满足部分粉丝的要求。

　　简单了解一下DHCP Snooping

　　在一次DHCP客户端动态获取IP地址的过程中，DHCP Snooping会对客户端和服务器之间的DHCP报文进行分析和过滤，防止用户端获取到非法DHCP服务器提供的地址而无法上网。

　　一般在企业网络中存在私搭乱建DHCP服务器的现象的源头常见的有如下两种：

　　· 网络中有个别终端用的是Windows Server 2003或者2008系统，默认开启了DHCP分配IP的服务。

　　· 一些接入层的端口连接有开启了DHCP分配IP服务的无线路由器。

　　建议大家在接入层交换机上面部署DHCP Snooping功能，越靠近PC端口控制得越准确。而每个交换机的端口推荐只连接一台PC，否则如果交换机某端口下串接一个Hub，在Hub上连接了若干PC的话，那么如果凑巧该Hub下发生DHCP欺骗，由于欺骗报文都在Hub端口间直接转发了，没有受到接入层交换机的DHCP Snooping功能的控制，这样的欺骗就无法防止了。

　　二、组网需求

　　如拓扑图所示，SW2是接入交换机，下挂的PC采用DHCP获取IP地址。SW1是核心交换机，部署了DHCP服务器功能。

　　这次实验所有设备在一个VLAN，是默认的VLAN1，最简单的网络。

　　三、拓扑图

　　四、配置过程

　　4.1在核心交换机SW1上配置

　　4.1.1基础配置

　　把相应的端口加入到交换机默认vlan 1

　　<Huawei>sys

　　[Huawei]sys sw1

　　[sw1]int g0/0/1

　　[sw1-GigabitEthernet0/0/1]port link-type trunk

　　[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 1

　　给vlan1虚拟接口vlanif1设置IP

　　使vlanif1作为vlan1的网关

　　[sw1]int vlan 1

　　[sw1-Vlanif1]ip addr

　　[sw1-Vlanif1]ip address 192.168.100.254 24

　　使能基于接口地址池分配IP地址功能

　　[sw1]dhcp enable

　　[sw1]int vlan 1

　　[sw1-Vlanif1]dhcp select interface

　　4.2配置DHCP Snooping功能

　　4.2.1在接入交换机SW2上配置

　　基础配置

　　把相应的端口加入到交换机默认vlan 1

　　<Huawei>sys

　　[Huawei]sys sw2

　　[sw2]int g0/0/1

　　[sw2-GigabitEthernet0/0/1]port link-type trunk

　　[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 1

　　[sw2-GigabitEthernet0/0/1]int g0/0/2

　　[sw2-GigabitEthernet0/0/2]port link-type access

　　[sw2-GigabitEthernet0/0/2]port default vlan 1

　　[sw2-GigabitEthernet0/0/2]int g0/0/3

　　[sw2-GigabitEthernet0/0/3]port link-type access

　　[sw2-GigabitEthernet0/0/3]port default vlan 1

　　此步配置中，真机默认端口类型是access,默认属于vlan1，小伙伴可以不配置g0/0/2口和g0/0/3口试一试。但是模拟器默认的端口类型是hybrid。

　　4.3使能全局DHCP Snooping功能

　　配置设备仅处理DHCPv4报文，节约设备的CPU利用率。

　　[sw2]dhcp enable

　　[sw2]dhcp snooping enable ipv4

　　使能用户侧接口的DHCP Snooping功能

　　[sw2]int g0/0/2

　　[sw2-GigabitEthernet0/0/2]dhcp snooping enable

　　[sw2]int g0/0/3

　　[sw2-GigabitEthernet0/0/3]dhcp snooping enable

　　配置为信任接口，使得接入交换机只处理从该接口收到的DHCP服务器响应报文

　　[sw2]int g0/0/1

　　[sw2-GigabitEthernet0/0/1]dhcp snooping trusted

　　默认情况下接口的信任状态是非信任。

　　五、验证

　　在接入层交换机SW2上

　　<sw2>dis dhcp snooping configuration

　　在核心交换机SW1上

　　查看地址池中已经使用的IP地址信息

　　<sw1>dis ip pool int vlan1 used

　　这个地址正是PC1获得的地址

　　在接入层交换机SW2上执行命令

　　<sw2>dis dhcp snooping user-bind all

　　查看DHCP Snooping绑定表信息。

　　在vlan1中开启IPSG（(IP Source Guard）功能，从而实现IP与MAC的绑定巡查

　　[sw2-vlan1]ip source check user-bind enable

　　现在可以Ping通PC1

　　修改MAC地址以后

　　重新获得IP地址

　　由上图知悉不同的PC对应不同的MAC地址。