DHCP SNOOPING 应用实例3

4、多交换机环境（DHCP服务器和DHCP客户端位于同一VLAN）

环境：3560交换机自身作为DHCP服务器；PC1和PC2都位于vlan 10；PC1接3560的fa0/1口，PC2接2960的fa0/1口；两交换机互连口都是gi0/1

配置思路：

3560

设置地址池名称，地址池地址范围，租期，默认路由。

设置端口Fa0/1是access 端口类型。加入vlan 10 ，检查端口流速

G0/1以trunk类型加入vlan 10

2960

设置端口Fa0/1为access 端口类型，加入vlan 10 ，检查端口流速

端口G0/1为trunk类型，加入vlan 10 ，设置为信任端口

3560交换机相关配置：

　　ip dhcp excluded-address 192.168.10.1

　　!

　　ip dhcp pool test

　　network 192.168.10.0 255.255.255.0

　　default-router 192.168.10.1

　　lease 8

　　!

　　ip dhcp snooping vlan 10

　　ip dhcp snooping information option allow-untrusted

以允许4506从DHCP SNOOPING UNTRUSTED端口接收带有OPTION 82的DHCP REQUEST报文
　　ip dhcp snooping

　　!

　　interface FastEthernet0/1

　　description : Connect to PC1

　　switchport access vlan 10

　　switchport mode access

spanning-tree portfast

　　ip dhcp snooping limit rate 15

　　!

　　interface GigabitEthernet0/1

　　description : Connect to C2960_Gi0/1

　　switchport trunk encapsulation dot1q

　　switchport mode trunk

　　ip dhcp snooping limit rate 360

　　 2960交换机相关配置：

　　ip dhcp snooping vlan 10

　　ip dhcp snooping

　　interface FastEthernet0/1

　　description : Connect to PC2

　　switchport access vlan 10

　　switchport mode access

　　spanning-tree portfast

　　ip dhcp snooping limit rate 15

　　！

　　interface GigabitEthernet0/1

　　description : Connect to C3560_Gi0/1

　　switchport mode trunk

　　ip dhcp snooping trust

　　 说明：

　　 本例中3560和2960同时开启了DHCP监听功能。从2960过来的DHCP请求报文是已经被插入了选项82信息，如果将3560的Gi0/1设置为信任端口，那么插入了82选项的DHCP请求报文是允许通过的，但不会为其建立DHCP监听绑定表。即3560上只有PC1的绑定条目，而没有PC2的绑定条目。

　　 如果此时同时部署DAI，IPSG，由于2960不支持这两项功能，对于3560来说，从2960上过来的数据可能存在IP欺骗和ARP欺骗等攻击，是不安全的。另一方面，由于3560没有PC2的绑定条目，而DAI和IPSG必须依赖DHCP监听绑定表。因此如果需要在3560上再部署DAI或者IPSG，就不能将3560的Gi0/1设置为信任端口。

　　 但是将3560的Gi0/1口设置为非信任端口以后，默认情况下，非信任端口将会丢弃收到的插入了82选项的DHCP请求报文。而从2960过来的DHCP请求报文又正好是被插入了选项82信息的。因此必须配置ip dhcp snooping information option allow-untrusted命令，否则3560将丢弃这些DHCP请求报文，接在2960上的PC2将得不到IP地址。只有配置了该命令以后，3560才会接收从2960发送的插入了选项82的DHCP报文，并为这些信息建立绑定条目。