1.1 DHCP Snooping简介

Ø DHCP Snooping 是 DHCP 的一种安全特性。

Ø 配置DHCP Snooping位于DHCP服务器和客户端之间的设备。（配置在接入层交换机 ）

Ø 配置了DHCP Snooping功能，必须要配置连接上连口的端口为dhcp snooping trust

信任端口。

1.2 DHCP Snooping产生的背景以及作用

网络中，如果有人私自搭建了DHCP服务器，就会有可能使得客户端获取到非法的IP地址，故而，为了防止这种情况，在接入层交换机配置DHCP Snooping功能。

1.3 DHCP Snooping特点

①保证客户端从合法的服务器获取IP地址

②记录DHCP客户端IP地址与MAC地址的对应关系

1.4 DHCP Snooping的原理及配置

在客户端和DHCP服务器的网络设备，（就是接入层交换机）。配置dhcp snooping enable使能，再配置一个信任端口，这个端口就是连接上层交换机的接口，配置成为信任端口，dhcp snooping trust。这样，其他的端口全为不信任端口。

信任端口：能正常转发接收DHCP报文

不信任端口：接收到 DHCP 服务器响应的 DHCP-ACK 和 DHCP-OFFER 报文后，丢弃该报文。保证 客户端只能从合法的 DHCP 服务器获取 IP 地址，私自架设的伪 DHCP服务器无法为 DHCP 客户端分配 IP 地址。

2.实验拓扑

第一步：接入交换机开启dhcp snooping enable使能

[R2-jieru]dhcp snooping enable

//注意：如果开了这个功能，必须要指定一个信任端口，否则终端无法获取IP的。

第二步：接入交换机配置一个信任端口

信任端口：就是面向DHCP server的端口，也就是连接上层交换机的端口，将此端口配置为信任端口。

[R2-jieru-Ten-GigabitEthernet1/0/49]dhcp snooping trust

//与上层交换机连接的端口必须使用此命令。

注意事项：

①如果要配置dhcp snooping功能，以上两个命令必须要同时使用，否则终端无法获取IP地址

②注意：在没开启dhcp snooping功能之前，如果旧终端已经获取IP，如果交换机开启dhcp snooping功能，没有配置信任端口，那么旧终端通信不受影响，因为他已经拿到了地址，等到租期到期，再联系dhcp server时候，就无法获取地址了。导致了为什么有些终端（旧终端可以通信），有些新终端无法通信的原因。