飛速（FS） 3900系列交換機功能配置—DHCP Snooping

DHCP Snooping是DHCP的一種安全特性，該功能既可以防止假冒DHCP服務器向客戶端發送無效IP地址，也能通過報文匹配檢查來防止非法用戶向DHCP服務器索要IP地址，從而造成IP地址池的枯竭。飛速（FS）明星產品— 3900系列千兆可堆疊管理型交換機 ，可實現DHCP Snooping在二層設備上的綜合應用。

S3900系列交換機產品搭配請參閱：飛速（FS） S3900系列交換機兼容光模組和線纜

飛速（FS） 3900系列交換機DHCP Snooping的應用

DHCP Snooping功能常用於接入層。這裡用 飛速（FS） S3900-24F4S交換機 、服務器和一臺PC來簡要描述DHCP Snooping的工作方式。在局域網中，首先PC會以廣播的形式發出DHCP Discover報文，當局域網中服務器接收到Discover報文會應答Offer報文並攜帶可提供給PC使用的IP地址，常規情況下，PC會優先處理第一個接受到的Offer報文，假設此報文是由非法服務器發出的，PC就會獲得非法地址，對網絡造成危害。

DHCP Snooping信任功能能夠保證PC從合法服務器獲取IP地址。首先，它將交換機上的端口口分為信任端口和非信任端口。DHCP服務器響應的報文，要想順利到達終端用戶，只能通過信任端口來進行傳遞，而非信任端口收到的報文將會被丟棄。也就是說，在本案例中，PC只會接收來自合法DHCP服務器的DHCP Offer報文。

在首次請求IP地址的最後環節，DHCP服務器將含有IP地址信息的DHCP ACK報文通過單播的方式發送給PC，交換機會根據DHCP ACK報文信息生成一個DHCP Snooping綁定表，該綁定表會記錄DHCP ACK報文中的IP地址信息，PC的MAC地址信息和交換機的端口信息。而後續從用戶端接收到的DHCP報文若與綁定表中的信息不一致，將被丟棄。倘若此時，PC連接交換機的其他端口，或者將PC換成其他終端設備，將導致交換機端口信息或設備MAC地址信息的變化，所以這兩種情況都會導致用戶請求IP地址失敗。

注意:

通常情況下，開啟了DHCP Snooping 的交換機會上連至DHCP服務器，下連各種終端設備。在實際應用中，DHCP服務器可以是服務器、路由器、飛速（FS） S58系列交換機等；終端設備可以是電話座機、PC、無線AP等。鑒於多數終端設備還未升級到光口，通常使用銅線來連接終端和交換機。然而，線纜的種類還是要根據設備的要求來選擇。

飛速（FS） 3900系列交換機DHCP Snooping配置內容

飛速（FS） S3900系列交換機的DHCP Snooping功能配置可以通過命令行界面來實現。在命令行界面配置時，主要步驟如下：

• 創建VLAN，並在該VLAN上使能DHCP Snooping；

• 將連接了DHCP服務器和合法用戶的端口都加入到該VLAN中；

• 將連接了DHCP服務器的端口配置為信任端口，以確保信息的流通；

• 驗證配置。

通過命令行界面配置DHCP Snooping

以飛速（FS） S3900-24F4S交換機為例，具體命令步驟與命令解釋如下：