華爲DHCP SNOOPING配置

配置思路

1.使能DHCP Snooping功能。

2.配置接口的信任狀態，以保證客戶端從合法的服務器獲取IP地址。

3.使能ARP與DHCPSnooping的聯動功能，保證DHCP用戶在異常下線時實時更新綁定表。

4.使能根據DHCP Snooping綁定表生成接口的靜態MAC表項功能，以防止非DHCP用戶***。

5.使能對DHCP報文進行綁定表匹配檢查的功能，防止仿冒DHCP報文***。

6.配置DHCP報文上送DHCP報文處理單元的最大允許速率，防止DHCP報文泛洪***。

7.配置允許接入的最大用戶數以及使能檢測DHCP Request

操作步驟

1.使能DHCP Snooping功能。

[SwitchC] dhcp enable

[SwitchC]dhcp snooping enable

2.使能用戶側接口的DHCP Snooping功能。

[SwitchC] dhcp snooping enable vlan 1 to 100（或直接在接口啓用如下）

[SwitchC] interface gigabitethernet 0/0/1

[SwitchC-GigabitEthernet0/0/1] dhcp snooping enable

3.配置接口的信任狀態：將連接DHCP Server的接口狀態配置爲“Trusted”。接dhcp的端口和交換機級聯端口需要配置

[SwitchC] interface gigabitethernet 0/0/3

[SwitchC-GigabitEthernet0/0/3]dhcp snooping trusted

4.使能ARP與DHCPSnooping的聯動功能。

[SwitchC]arp dhcp-snooping-detect enable

5.使能對DHCP報文進行綁定表匹配檢查的功能。

[SwitchC] interface gigabitethernet0/0/1

[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable

6.配置DHCP報文上送DHCP報文處理單元的最大允許速率爲10pps。

[SwitchC] dhcp snooping check dhcp-rate enable

[SwitchC] dhcp snooping check dhcp-rate 10

7.配置接口允許接入的最大用戶數。

[SwitchC] interface gigabitethernet 0/0/1

[SwitchC-GigabitEthernet0/0/1] dhcp snooping max-user-number 2

8.配置丟棄報文告警和報文限速告警功能。

# 使能丟棄報文告警功能，並配置丟棄報文告警閾值。以GE0/0/1接口爲例，GE0/0/2的配置相同

[SwitchC] interface gigabitethernet 0/0/1

[SwitchC] dhcp snooping alarm dhcp-rate enable

[SwitchC] dhcp snooping alarm dhcp-rate threshold 10

[SwitchC] dhcp snooping check user-bind enable

[SwitchC] dhcp snooping check mac-address enable 使能檢查DHCPRequest報文頭中MAC地址的功能

驗證配置結果

display dhcp snooping configuration 查看DHCP Snooping的配置信息。

display dhcp snooping interface 查看接口下的DHCP Snooping運行信息。

reset dhcpsnooping user-bind vlan | interface | * 復位DHCPSnooping綁定表

dhcp snoopinguser-bind autosave file-name 備份DHCPSnooping綁定表。

arp anti-attackcheck user-bind enable

arp anti-attackcheck user-bind alarm enable

arp anti-attackcheck user-bind alarm threshold 10

arp anti-attackcheck user-bind check-item mac-address

ip source checkuser-bind enable 啓用ip源防護

ip source checkuser-bind check-item { ip-address |mac-address | vlan }* 配置IP報文檢查項

ip source checkuser-bind alarm enable 使能IP報文檢查告警功能。

ip source checkuser-bind alarm threshold threshold 配置IP報文檢查告警閾值缺省100。