飞速（FS） 3900系列交换机功能配置—DHCP Snooping

DHCP Snooping是DHCP的一种安全特性，该功能既可以防止假冒DHCP服务器向客户端发送无效IP地址，也能通过报文匹配检查来防止非法用户向DHCP服务器索要IP地址，从而造成IP地址池的枯竭。飞速（FS）明星产品— 3900系列千兆可堆叠管理型交换机 ，可实现DHCP Snooping在二层设备上的综合应用。

S3900系列交换机产品搭配请参阅：飞速（FS） S3900系列交换机兼容光模块和线缆

飞速（FS） 3900系列交换机DHCP Snooping的应用

DHCP Snooping功能常用于接入层。这里用 飞速（FS） S3900-24F4S交换机 、服务器和一台PC来简要描述DHCP Snooping的工作方式。在局域网中，首先PC会以广播的形式发出DHCP Discover报文，当局域网中服务器接收到Discover报文会应答Offer报文并携带可提供给PC使用的IP地址，常规情况下，PC会优先处理第一个接受到的Offer报文，假设此报文是由非法服务器发出的，PC就会获得非法地址，对网络造成危害。

DHCP Snooping信任功能能够保证PC从合法服务器获取IP地址。首先，它将交换机上的端口口分为信任端口和非信任端口。DHCP服务器响应的报文，要想顺利到达终端用户，只能通过信任端口来进行传递，而非信任端口收到的报文将会被丢弃。也就是说，在本案例中，PC只会接收来自合法DHCP服务器的DHCP Offer报文。

在首次请求IP地址的最后环节，DHCP服务器将含有IP地址信息的DHCP ACK报文通过单播的方式发送给PC，交换机会根据DHCP ACK报文信息生成一个DHCP Snooping绑定表，该绑定表会记录DHCP ACK报文中的IP地址信息，PC的MAC地址信息和交换机的端口信息。而后续从用户端接收到的DHCP报文若与绑定表中的信息不一致，将被丢弃。倘若此时，PC连接交换机的其他端口，或者将PC换成其他终端设备，将导致交换机端口信息或设备MAC地址信息的变化，所以这两种情况都会导致用户请求IP地址失败。

注意:

通常情况下，开启了DHCP Snooping 的交换机会上连至DHCP服务器，下连各种终端设备。在实际应用中，DHCP服务器可以是服务器、路由器、飞速（FS） S58系列交换机等；终端设备可以是电话座机、PC、无线AP等。鉴于多数终端设备还未升级到光口，通常使用铜线来连接终端和交换机。然而，线缆的种类还是要根据设备的要求来选择。

飞速（FS） 3900系列交换机DHCP Snooping配置内容

飞速（FS） S3900系列交换机的DHCP Snooping功能配置可以通过命令行界面来实现。在命令行界面配置时，主要步骤如下：

• 创建VLAN，并在该VLAN上使能DHCP Snooping；

• 将连接了DHCP服务器和合法用户的端口都加入到该VLAN中；

• 将连接了DHCP服务器的端口配置为信任端口，以确保信息的流通；

• 验证配置。

通过命令行界面配置DHCP Snooping

以飞速（FS） S3900-24F4S交换机为例，具体命令步骤与命令解释如下：