一个老设备如何启用DHCP snooping

1689174910,风形月影 风形月影 零段 粉丝：0人 关注：0人

问题描述：

     单位上一个交换机S5130坏了，送修了，现在找了一个华为的S

组网及组网描述：

6小时前提问

您好，参考

使能DHCP Snooping功能

在配置DHCP Snooping功能之前，必须先使能DHCP Snooping功能。

背景信息

使能DHCP Snooping功能的顺序如下所示： 全局使能DHCP功能 全局使能DHCP Snooping功能 在接口、BD或VLAN下使能DHCP Snooping功能

操作步骤

对于DHCP Server仿冒者通过二层设备的攻击，在VLAN视图下使能DHCP Snooping功能

执行命令 system-view，进入系统视图。

执行命令dhcp enable，全局使能DHCP功能。

执行命令DHCP Snooping enable，全局使能DHCP Snooping功能。

执行命令 vlan vlan-id，进入VLAN视图。

执行命令dhcp snooping enable [ interface interface-type interface-number ]，使能VLAN的DHCP Snooping功能。

执行命令 quit，返回系统视图。 执行命令 commit，提交配置。

BD视图下使能DHCP Snooping功能

执行命令 system-view，进入系统视图。

执行命令dhcp enable，全局使能DHCP功能。

执行命令dhcp snooping enable，全局使能DHCP Snooping功能。

执行命令 bridge-domain bd-id，进入BD视图。

执行命令dhcp snooping enable，使能BD内的DHCP Snooping功能。

执行命令 commit，提交配置。

对于DHCP Server仿冒者通过三层设备的攻击，在接口视图下使能DHCP Snooping功能

执行命令 system-view，进入系统视图。

执行命令dhcp enable，全局使能DHCP功能。

执行命令dhcp snooping enable，全局使能DHCP Snooping功能。

执行命令 interface interface-type interface-number，进入接口视图。

执行命令dhcp snooping enable，使能接口的DHCP Snooping功能。

执行命令 commit，提交配置。

BD视图下使能DHCP Snooping功能

执行命令 system-view，进入系统视图。

执行命令dhcp enable，全局使能DHCP功能。

缺省情况下，使能DHCP功能。

执行命令dhcp snooping enable，全局使能DHCP Snooping功能。

缺省情况下，没有全局使能DHCP Snooping功能。

执行命令 bridge-domain bd-id，进入BD视图。

执行命令dhcp snooping enable，使能BD内的DHCP Snooping功能。

缺省情况下，BD内没有使能DHCP Snooping功能。

执行命令 commit，提交配置。

配置接口为信任状态

在配置DHCP Snooping功能时，必须配置信任接口，否则用户无法上线。

背景信息

DHCP Snooping信任功能将接口分为Trusted接口和Untrusted接口： Trusted接口对接收到的DHCP Reply报文正常转发，从而保证了DHCP Client获取正确的IP地址。 从Untrusted接口接收到的DHCP Reply报文会被丢弃，从而防止了DHCP Client获得错误的IP地址。

一般把与合法DHCP Server相连的接口设为Trusted接口，其他接口都设为Untrusted接口。

在配置DHCP Snooping功能时，必须配置信任接口，且服务器侧接口和用户侧接口必须在同一个VLAN内，否则用户无法上线。

操作步骤

对于DHCP Server仿冒者通过二层设备的攻击，在VLAN视图下配置接口为Trusted 执行命令 system-view，进入系统视图。 执行命令 vlan vlan-id，进入VLAN视图。

执行命令dhcp snooping trusted [ interface interface-type interface-number ]，配置VLAN内的接口为信任状态。

在VLAN内配置接口为信任状态前，该接口必须已经加入了该VLAN。

执行命令 commit，提交配置。 在BD视图下配置接口为信任状态 执行命令 system-view，进入系统视图。 执行命令 bridge-domain bd-id，进入BD视图。 执行命令 dhcp snooping trusted，配置BD内的接口为信任状态。 执行命令 commit，提交配置。 对于DHCP Server仿冒者通过三层设备的攻击，在接口视图下配置接口为信任状态 执行命令 system-view，进入系统视图。 执行命令 interface interface-type interface-number，进入接口视图。

执行命令dhcp snooping trusted，配置接口为信任状态。

在VSI场景下，可以在网络侧接口上配置 dhcp snooping trusted命令。但是如果多个VSI共用这一个网络侧物理出接口，那么 dhcp snooping trusted命令对所有VSI都生效，会存在以下两个问题： 无法区分VSI上送主机处理，这样DHCP Snooping功能无法实现，但是用户可以上线。 对于未配置DHCP Snooping的VSI，网络侧物理出接口仍然会将收到的DHCP回应报文上送平台，这样会增加系统负担。 所以在VSI场景下，建议用户在VSI视图下配置 dhcp snooping nni server enable命令，不要在网络侧接口配置 dhcp snooping trusted命令，这样能满足VSI下的用户上线以及DHCP Snooping的需求，也不会出现上述问题。 执行命令 commit，提交配置。 在BD视图下配置接口为信任状态 执行命令 system-view，进入系统视图。 执行命令 bridge-domain bd-id，进入BD视图。 执行命令 dhcp snooping trusted，配置BD内的接口为信任状态。 执行命令 commit，提交配置。

6小时前回答

暂无

参考官方文档

http://www.h3c.com/cn/d_

6小时前回答

暂无

单位上一个交换机S5130坏了，送修了，现在找了一个华为的S

谢谢

6小时前回答

暂无

你正在内容来源：知了社区,一个老设备如何启用DHCP snooping