华为交换机配置DHCP snooping功能

1、DHCP Snooping的基本原理：开启了DHCP Snooping的设备将用户（DHCP客户端）的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从开启了DHCP Snooping的接口接收用户发来的DHCP报文时，会进行匹配检查，能够有效防范非法用户的攻击。简单一句话，就是IP地址只能从我指定的信任接口获取，其它接口发过来的报文我都不信任，不接受，也不分配IP地址。

2、使用场景：DHCP服务器------SW-----PC　　这个是正常的典型网络PC通过DHCP获取IP地址，如果这个时候SW下面再挂接一个路由器，或者是其它的DHCP服务器时，PC有可能会获取到别的IP地址具体如下图：

3、开启了DHCP后，如下图，会生成一个绑定表，并且只有指定的端口才可以发送报文进行DHCP的分配 ，其它端口的报文全部丢弃。

4、实验拓扑：# sysname PE1# dhcp enable //开启DHCP服务 # dhcp snooping enable //开启DHCP snooping功能 #interface GigabitEthernet1/0/1dhcp snooping enable //在接入层的所有端口开启#interface GigabitEthernet1/0/2 dhcp snooping enable //在接入层的所有端口开启 #interface GigabitEthernet2/0/1dhcp snooping trusted //在接DHCP服务器或者中继端口开启端口信任，只有这个端口分配过来的IP我才会接受。#return这里只做最主要最重要的相关配置，还有其它特别优化的配置请自行去研究。