DHCP Snooping配置介绍DHCP Snooping的原理和配置方法，并给出配置举例。

配置DHCP Snooping的攻击防范功能示例组网需求如图9-13所示，SwitchA与SwitchB为接入设备，SwitchC为DHCP Relay。

Client1与Client2分别通过GE0/0/1与GE0/0/2接入SwitchA，Client3通过GE0/0/1接入SwitchB，其中Client1与Client3通过DHCP方式获取IPv4地址，而Client2使用静态配置的IPv4地址。

网络中存在非法用户的攻击导致合法用户不能正常获取IP地址，管理员希望能够防止网络中针对DHCP的攻击，为DHCP用户提供更优质的服务。

图9-13配置DHCP Snooping的攻击防范功能组网图配置思路采用如下的思路在SwitchC上进行配置。

1.使能DHCP Snooping功能并配置设备仅处理DHCPv4报文。

2.配置接口的信任状态，以保证客户端从合法的服务器获取IP地址。

3.使能ARP与DHCP Snooping的联动功能，保证DHCP用户在异常下线时实时更新绑定表。

4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能，以防止非DHCP用户攻击。

5.使能对DHCP报文进行绑定表匹配检查的功能，防止仿冒DHCP报文攻击。

6.配置DHCP报文上送DHCP报文处理单元的最大允许速率，防止DHCP报文泛洪攻击。

7.配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能，防止DHCP Server服务拒绝攻击。

操作步骤1.使能DHCP Snooping功能。

# 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。

<HUAWEI> system-view[HUAWEI] sysname SwitchC[SwitchC] dhcp enable[SwitchC] dhcp snooping enable ipv4# 使能用户侧接口的DHCP Snooping功能。

以GE0/0/1接口为例，GE0/0/2的配置相同，此处省略。

[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping enable[SwitchC-GigabitEthernet0/0/1] quit2.配置接口的信任状态：将连接DHCP Server的接口状态配置为“Trusted”。

3.[SwitchC] interface gigabitethernet 0/0/34.[SwitchC-GigabitEthernet0/0/3] dhcp snooping trusted[SwitchC-GigabitEthernet0/0/3] quit5.使能ARP与DHCP Snooping的联动功能。

[SwitchC] arp dhcp-snooping-detect enable6.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能。

# 在用户侧接口进行配置。

以GE0/0/1接口为例，GE0/0/2的配置相同，此处省略。

[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping sticky-mac[SwitchC-GigabitEthernet0/0/1] quit7.使能对DHCP报文进行绑定表匹配检查的功能。

# 在用户侧接口进行配置。

以GE0/0/1接口为例，GE0/0/2的配置相同，此处省略。

[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable[SwitchC-GigabitEthernet0/0/1] quit8.配置DHCP报文上送DHCP报文处理单元的最大允许速率为90pps。

9.[SwitchC] dhcp snooping check dhcp-rate enable[SwitchC] dhcp snooping check dhcp-rate 9010.使能检测DHCP Request报文中GIADDR字段是否非零的功能。

# 在用户侧接口进行配置。

以GE0/0/1接口为例，GE0/0/2的配置相同，此处省略。

[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-giaddr enable[SwitchC-GigabitEthernet0/0/1] quit11.配置接口允许接入的最大用户数并使能对CHADDR字段检查功能。

# 在用户侧接口进行配置。

以GE0/0/1接口为例，GE0/0/2的配置相同，此处省略。

[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping max-user-number 20[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-chaddr enable[SwitchC-GigabitEthernet0/0/1] quit12.配置丢弃报文告警和报文限速告警功能。

# 使能丢弃报文告警功能，并配置丢弃报文告警阈值。

以GE0/0/1接口为例，GE0/0/2的配置相同，此处省略。

[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr enable[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request enable[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-reply enable[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr threshold 120[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request threshold 120[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-reply threshold 120[SwitchC-GigabitEthernet0/0/1] quit# 使能报文限速告警功能，并配置报文限速告警阈值。

[SwitchC] dhcp snooping alarm dhcp-rate enable[SwitchC] dhcp snooping alarm dhcp-rate threshold 50013.验证配置结果# 执行命令display dhcp snooping configuration查看DHCP Snooping的配置信息。

[SwitchC] display dhcp snooping configuration#dhcp snooping enable ipv4dhcp snooping check dhcp-rate enabledhcp snooping check dhcp-rate 90dhcp snooping alarm dhcp-rate enabledhcp snooping alarm dhcp-rate threshold 500arp dhcp-snooping-detect enable#interface GigabitEthernet0/0/1dhcp snooping enabledhcp snooping check dhcp-giaddr enabledhcp snooping check dhcp-request enabledhcp snooping alarm dhcp-request enabledhcp snooping alarm dhcp-request threshold 120dhcp snooping check dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr threshold 120dhcp snooping alarm dhcp-reply enabledhcp snooping alarm dhcp-reply threshold 120dhcp snooping max-user-number 20# interface GigabitEthernet0/0/2dhcp snooping enabledhcp snooping check dhcp-giaddr enabledhcp snooping check dhcp-request enabledhcp snooping alarm dhcp-request enabledhcp snooping alarm dhcp-request threshold 120dhcp snooping check dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr threshold 120dhcp snooping alarm dhcp-reply enabledhcp snooping alarm dhcp-reply threshold 120dhcp snooping max-user-number 20# interface GigabitEthernet0/0/3dhcp snooping trusted## 执行命令display dhcp snooping interface查看接口下的DHCP Snooping运行信息。