前面的文章中,我们讲解了DHCP Snooping是什么。那么通过文章内容,我们对此有了一个大致的理解,那么接下来,我们在了解一下DHCP Snooping配置的具体操作和步骤。DHCP Snooping功能与 1x的 DHCP Option 82 功能是互斥的,即不能同时使用

DHCP Snooping和 DHCP Option82

DHCP Snooping仅对用户的DHCP过程进行窥探,若想控制用户必须使用DHCP分配的 IP 上网, 则必须使用 ARP 探测功能,而 ARP 检测模块需要检测所有 ARP报文,所以会对设备的整体性能产生影响,需要用户注意。

DHCP Snooping配置打开和关闭DHCP Snooping

缺省情况下,设备的 DHCP Snooping 功能是关闭,当配置 ip dhcp snooping 命

令后,设备就打开了 dhcp snooping 功能,开始对 dhcp报文进行监控。

命令 说明

switch# configure terminal 进入配置模式
switch(config)# [no] ip dhcp snooping DHCP snooping打开和关闭

下边是配置打开设备 DHCP snooping功能:

  1. switch# configure terminal   
  2. switch(config)# ip dhcp snooping   
  3. switch(config)# end   
  4. switch# 

DHCP Snooping配置:DHCP源MAC检查功能

配置此命令后,设备就会对 UNTRUST 口送上来的 DHCP Request 报文进行源MAC和 Client 字段的 MAC地址校验检查,丢弃 MAC值不相同的不合法的报文。

默认不检查。

命令 说明

  1. switch# configure terminal 进入配置模式   
  2. switch(config)# [no]ip dhcp snooping   
  3. verify mac-address  

打开和关闭源 MAC检查功能

下边的是打开 DHCP 源 MAC检查的功能

  1. switch# configure terminal   
  2. switch(config)# ip dhcp snooping verify mac-address   
  3. switch(config)# end   
  4. switch# 

DHCP Snooping配置:静态DHCP snooping用户

在某些应用情况下,某些端口下的用户希望能够静态使用某些 IP,就可以通过静态配置此用户信息来实现。

命令 说明

  1. switch# configure terminal 进入配置模式   
  2. switch(config)# [no] ip dhcp snooping   
  3. bindingmac-addrees vlan vlan_id ip   
  4. ip-addressinterface interface-id  

设置 DHCP 静态用户到 DHCP

snooping 绑定数据库

下边是添加一个静态的用户到设备的9端口:

  1. switch# configure terminal   
  2. switch(config)# ip dhcp snooping binding 00d0.f801.0101 vlan   
  3. 1 ip 192.168.4.243 interface gigabitEthernet 0/9   
  4. switch(config)# end   
  5. switch# 

DHCP Snooping配置:定时写DHCP Snooping数据库信息到flash

为了防止设备断电重启导致设备上的 DHCP 用户信息丢失,所以 DHCP Snooping 提供可配置的定时把 DHCP Snooping 数据库信息写入 flash的命令,默认情况下,定时为 0,即不定时写 flash。

命令 说明

  1. switch# configure terminal 进入配置模式   
  2. switch(config)# [no] ip dhcp snooping   
  3. database write-delay [time]  

设置DHCP延迟写flash的时间

time:600s--86400s.缺省为 0

下边的是设置 DHCP Snooping延迟写 flash的时间为 3600s:

  1. switch# configure terminal   
  2. switch(config)# ip dhcp snooping database write-delay 3600   
  3. switch(config)# end   
  4. switch# 

手动把DHCP snooping数据库信息写到flash

为了防止设备断电重启导致设备上的DHCP用户信息丢失,除了配置定时写flash外,也可以根据需要手动地把当前的DHCP Snooping绑定数据库信息写入flash。  

命令 说明

  1. switch# configure terminal 进入配置模式   
  2. switch(config)# ip dhcp snooping database   
  3. write-to-flash  

把DHCP snooping数据库信息

写入 flash

下边的是手动的把 DHCP Snooping 数据库信息写入 flash:

  1. switch# configure terminal   
  2. switch(config)# ip dhcp snooping database write-to-flash   
  3. switch(config)# end 

DHCP Snooping配置:端口为TRUST口

用户通过配置此命令来设置一个端口为 TRUST 口,默认情况下所有端口全部为UNTRUST口:

命令 说明

  1. switch# configure terminal 进入配置模式   
  2. switch(config)# interface interface 进入接口配置模式   
  3. switch(config-if)# [no] ip dhcp snooping trust 将端口设置为 trust 口  

下边是配置设备的 1端口为 TRUST 口:

  1. switch# configure terminal   
  2. switch(config)# interface gigabitEthernet 0/1   
  3. switch(config-if)# ip dhcp snooping trust   
  4. switch(config-if)# end   
  5. switch# 

清空DHCP Snooping数据库动态用户信息

此命令用于清空当前的 DHCP Snooping 数据库的信息。

命令 说明

switch# clear ip dhcp snooping binding 清空当前数据库的信息

下边的是手动清空当前数据库的信息:

switch# clear ip dhcp snooping binding

DHCP snooping配置显示

显示DHCP snooping

您可以通过以下步骤显示 ip dhcp snooping内容

命令 说明

switch# show ip dhcp snooping

显示 dhcp snooping 的相关配

置信息

例如:

  1. switch# show ip dhcp snooping   
  2. Switch DHCP snooping status                    :   ENABLE   
  3. DHCP snooping Verification of hwaddr status    :   ENABLE   
  4. DHCP snooping database wirte-delay time         :   3600   
  5. Interface                      Trusted   
  6. ------------------------       -------   
  7. GigabitEthernet 0/1            YES 

显示DHCP snooping 数据库信息

您可以通过以下步骤显示 ip dhcp snooping数据库信息的相关内容

命令 说明

switch# show ip dhcp snooping binding

查看 DHCP Snooping 绑定数

据库的静态用户信息

例如:

  1. switch# show ip dhcp snooping binding  
  2.  
  3. MacAddress IpAddress   Lease(sec) Type VLAN Interface   
  4. ------------------ --------------- ---------- -------------  
  5. 00d0.f801.0101 192.168.4.243 - static 1 GigabitEthernet 0/9