防止局域网内私自IP地址（DHCP)

应用实例

我校1＃学生公寓，PC拥有数量大约1000台。采用DHCP分配IP地址，拥有4个C类地址，实际可用地址数约1000个。由于楼内经常存在私开的DHCP服务器，导致大量主机无法分配到合法IP地址；另外，由于有相当数量的主机指定IP地址，因此造成了与DHCP分配的IP地址冲突。以上两方面，均造成了该公寓楼大量主机无法正常访问网络。

经过一段时间的分析、实验，我们决定对该公寓楼部署DHCP Snooping和Dynamic ARP Inspection两项技术，以保证网络的正常运行。

该公寓网络设备使用情况如下，接入层为××台 2950交换机上联至堆叠的4台 3750，再通过光纤上联至汇聚层的 3750交换机。同时汇聚层的 3750交换机还兼做DHCP服务器。

部署过程

首先按如下过程配置DHCP Snooping

1 configure terminal

2 ip dhcp snooping 在全局模式下启用DHCP Snooping

3 ip dhcp snooping vlan 103 在VLAN 103中启用DHCP Snooping

4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled.

5 interface GigabitEthernet1/0/28，进入交换机的第28口

6 ip dhcp snooping trust 将第28口设置为受信任端口

7 ip dhcp snooping limit rate 500 设置每秒钟处理DHCP数据包上限

9 end 退出

完成配置后，可用如下命令观察DHCP Snooping运行状况：

show ip dhcp snooping

得到如下信息：

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs：