路由器DHCP snooping配置防止获取非法dhcp服务

组网要求：

1. Router为DHCP服务器，开启DHCP服务，为PC分配地址。使用的地址池网段为192.168.1.0/24，并且地址池中需排除掉地址192.168.1.254、192.168.1.253，因为这些地址另有用处（例如被网络中的服务器占用），不能分配给PC。同时为客户端分配的网关地址是192.168.1.254，所分配的地址租期为2天。客户端自动获取的DNS服务器地址为8.8.8.8。

2. 在交换机上部署DHCP snooping特性，防止PC从Router之外的DHCP服务器获取非法的地址。

3. 要求PC机能够通过DHCP自动获取地址及网关。

一、eNSP详解视频：

二、IP设置：

PC1:自动获取IP地址，网关自动获取

Router：192.168.1.254/24

三、配置步骤：

Router的配置如下：

[Router] interface GigabitEthernet 0/0/0

[Router-GigabitEthernet0/0/0] ip address 192.168.1.254 24

[Router] dhcp enable#全局使能DHCP服务

[Router] ip pool dhcppool#创建地址池

[Router-ip-pool-dhcppool] network 192.168.1.0 mask 24

[Router-ip-pool-dhcppool] gateway-list 192.168.1.254

[Router-ip-pool-dhcppool] excluded-ip-address 192.168.1.253

[Router-ip-pool-dhcppool] lease day 2

[Router-ip-pool-dhcppool] dns-list 8.8.8.8

[Router-ip-pool-dhcppool] quit

[Router] interface GigabitEthernet 0/0/0

[Router-GigabitEthernet0/0/0] dhcp select global#使能接口的DHCP服务功能，指定路由器的GE0/0/0从全局地址池分配地址

交换机的配置如下：

[SW] vlan batch 10

[SW] interface GigabitEthernet 0/0/1

[SW-GigabitEthernet0/0/1] port link-type access

[SW-GigabitEthernet0/0/1] port default vlan 10

[SW] interface GigabitEthernet 0/0/24

[SW-GigabitEthernet0/0/24] port link-type access

[SW-GigabitEthernet0/0/24] port default vlan 10

[SW] dhcp enable#全局使能DHCP服务

[SW] dhcp snooping enable#全局使能DHCP Snooping

[SW] vlan 10

[SW-vlan10] dhcp snooping enable#在VLAN10使能DHCP Snnooping

[SW-vlan10] dhcp snooping trusted interface GigabitEthernet 0/0/24

一旦在特定的VLAN上使能DHCP Snooping，则该VLAN内的所有接口缺省都是“非信任”接口，这些接口会将收到的DHCP回应消息直接丢弃。我们通过手工将连接着可信的DHCP服务器的接口设置为“信任”接口，从而防止PC从非法的DHCP服务器获取地址。只有从“信任”接口收到的DHCP回应消息才会被转发给DHCP客户端。

上面的配置中vlan视图下的dhcp snooping trusted interface GigabitEthernet 0/0/24命令也可以用另一种方式指定，就是进入接口GE0/0/24的配置视图，然后使用dhcp snooping trusted命令指定该接口为信任接口：

[SW] interface GigabitEthernet 0/0/24

[SW-GigabitEthernet0/0/24] dhcp snooping trusted

四、Router的主要配置文件：

#

sysname Router

#

dhcp enable

#

ip pool dhcppool

gateway-list 192.168.1.254

network 192.168.1.0 mask 255.255.255.0

excluded-ip-address 192.168.1.253

lease day 2 hour 0 minute 0

dns-list 8.8.8.8

#

interface GigabitEthernet0/0/0

ip address 192.168.1.254 255.255.255.0

dhcp select global

#

Return

五、SW的主要配置文件：

#

sysname SW

#

vlan batch 10

#

dhcp enable

#

dhcp snooping enable

#

vlan 10

dhcp snooping enable

dhcp snooping trusted interface GigabitEthernet0/0/24

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/24

port link-type access

port default vlan 10

#

return

六、验证结果

在PC1上使用ipconfig命令查看获取的IP地址等信息。

PC>ipconfig

Link local IPv6 address...........: fe80::5689:98ff:fe49:2e43

IPv6 address......................: :: / 128

IPv6 gateway......................: ::

IPv4 address......................: 192.168.1.252

Subnet mask.......................: 255.255.255.0

Gateway...........................: 192.168.1.254

Physical address..................: 54-89-98-49-2E-43

DNS server........................: 8.8.8.8