DHCP Snooping功能和實例詳解

1、DHCP Snooping功能與實例詳解一、采用DHCP服務的常見問題架設DHCP服務器可以為客戶端自動分配IP地址、掩碼、默認網(wǎng)關、DNS服務器等網(wǎng)絡參數(shù)，簡化了網(wǎng)絡配置，提高了管理效率。但在DHCP服務的管理上存在一些問題，常見的有： DHCP Server的冒充  DHCP Server的DOS攻擊，如DHCP耗竭攻擊  某些用戶隨便指定IP地址，造成IP地址沖突  1、DHCP Server的冒充  由于DHCP服務器和客戶端之間沒有認證機制，所以如果在網(wǎng)絡上隨意添加一臺DHCP服務器，它就可以為客戶端分配

2、IP地址以及其他網(wǎng)絡參數(shù)。只要讓該DHCP服務器分配錯誤的IP地址和其他網(wǎng)絡參數(shù)，那就會對網(wǎng)絡造成非常大的危害。  2、DHCP Server的拒絕服務攻擊通常DHCP服務器通過檢查客戶端發(fā)送的DHCP請求報文中的CHADDR（也就是Client MAC address）字段來判斷客戶端的MAC地址。正常情況下該CHADDR字段和發(fā)送請求報文的客戶端真實的MAC地址是相同的。攻擊者可以利用偽造MAC的方式發(fā)送DHCP請求，但這種攻擊可以使用Cisco 交換機的端口安全特性來防止。端口安全特性（Port Security）可以限制每個端口只使用唯一的MAC地址。但是如果攻擊者

3、不修改DHCP請求報文的源MAC地址，而是修改DHCP報文中的CHADDR字段來實施攻擊，那端口安全就不起作用了。由于DHCP服務器認為不同的CHADDR值表示請求來自不同的客戶端，所以攻擊者可以通過大量發(fā)送偽造CHADDR的DHCP請求，導致DHCP服務器上的地址池被耗盡，從而無法為其他正常用戶提供網(wǎng)絡地址，這是一種DHCP耗竭攻擊。DHCP耗竭攻擊可以是純粹的DOS攻擊，也可以與偽造的DHCP服務器配合使用。當正常的DHCP服務器癱瘓時，攻擊者就可以建立偽造的DHCP服務器來為局域網(wǎng)中的客戶端提供地址，使它們將信息轉發(fā)給準備截取的惡意計算機。甚至即使DHCP請求報文的源MAC地址和CHAD

4、DR字段都是正確的，但由于DHCP請求報文是廣播報文，如果大量發(fā)送的話也會耗盡網(wǎng)絡帶寬，形成另一種拒絕服務攻擊。  3、客戶端隨意指定IP地址  客戶端并非一定要使用DHCP服務，它可以通過靜態(tài)指定的方式來設置IP地址。如果隨便指定的話，將會大大提高網(wǎng)絡IP地址沖突的可能性。二、DHCP Snooping技術介紹DHCP監(jiān)聽（DHCP Snooping）是一種DHCP安全特性。Cisco交換機支持在每個VLAN基礎上啟用DHCP監(jiān)聽特性。通過這種特性，交換機能夠攔截第二層VLAN域內(nèi)的所有DHCP報文。DHCP監(jiān)聽將交換機端口劃分為兩類： &#

5、160;非信任端口：通常為連接終端設備的端口，如PC，網(wǎng)絡打印機等  信任端口：連接合法DHCP服務器的端口或者連接匯聚交換機的上行端口通過開啟DHCP監(jiān)聽特性，交換機限制用戶端口（非信任端口）只能夠發(fā)送DHCP請求，丟棄來自用戶端口的所有其它DHCP報文，例如DHCP Offer報文等。而且，并非所有來自用戶端口的DHCP請求都被允許通過，交換機還會比較DHCP 請求報文的（報文頭里的）源MAC地址和（報文內(nèi)容里的）DHCP客戶機的硬件地址（即CHADDR字段），只有這兩者相同的請求報文才會被轉發(fā)，否則將被丟棄。這樣就防止了DHCP耗竭攻擊。信任端口可以接收所有的DHCP

6、報文。通過只將交換機連接到合法DHCP服務器的端口設置為信任端口，其他端口設置為非信任端口，就可以防止用戶偽造DHCP服務器來攻擊網(wǎng)絡。DHCP監(jiān)聽特性還可以對端口的DHCP報文進行限速。通過在每個非信任端口下進行限速，將可以阻止合法DHCP請求報文的廣播攻擊。DHCP監(jiān)聽還有一個非常重要的作用就是建立一張DHCP監(jiān)聽綁定表（DHCP Snooping Binding）。一旦一個連接在非信任端口的客戶端獲得一個合法的DHCP Offer，交換機就會自動在DHCP監(jiān)聽綁定表里添加一個綁定條目，內(nèi)容包括了該非信任端口的客戶端IP地址、MAC地址、端口號、VLAN編號、租期等信息。如：Switch#

7、show ip dhcp snooping bindingMacAddressIpAddressLease(sec) TypeVLANInterface- - - - -00:0F:1F:C5:10:08 31 682463 dhcp-snooping 10 FastEthernet0/1這張DHCP監(jiān)聽綁定表為進一步部署IP源防護（IPSG）和動態(tài)ARP檢測（DAI）提供了依據(jù)。說明：  I. 非信任端口只允許客戶端的DHCP請求報文通過，這里只是相對于DHCP報文來說的。其他非DHCP報文還是可以正常轉發(fā)的。這就表示客戶端可以以靜態(tài)指定

8、IP地址的方式通過非信任端口接入網(wǎng)絡。由于靜態(tài)客戶端不會發(fā)送DHCP報文，所以DHCP監(jiān)聽綁定表里也不會有該靜態(tài)客戶端的記錄。信任端口的客戶端信息不會被記錄到DHCP監(jiān)聽綁定表里。如果有一客戶端連接到了一個信任端口，即使它是通過正常的DHCP方式獲得IP地址，DHCP監(jiān)聽綁定表里也不有該客戶端的記錄。如果要求客戶端只能以動態(tài)獲得IP的方式接入網(wǎng)絡，則必須借助于IPSG和DAI技術。  II.交換機為了獲得高速轉發(fā)，通常只檢查報文的二層幀頭，獲得目標MAC地址后直接轉發(fā)，不會去檢查報文的內(nèi)容。而DHCP監(jiān)聽本質(zhì)上就是開啟交換機對DHCP報文的內(nèi)容部分的檢查，DHCP報文不再只

9、是被檢查幀頭了。  III. DHCP監(jiān)聽綁定表不僅用于防御DHCP攻擊，還為后續(xù)的IPSG和DAI技術提供動態(tài)數(shù)據(jù)庫支持。  IV. DHCP監(jiān)聽綁定表里的Lease列就是每個客戶端對應的DHCP租約時間。當客戶端離開網(wǎng)絡后，該條目并不會立即消失。當客戶端再次接入網(wǎng)絡，重新發(fā)起DHCP請求以后，相應的條目內(nèi)容就會被更新。如上面的00F.1FC5.1008這個客戶端原本插在Fa0/1端口，現(xiàn)在插在Fa0/3端口，相應的記錄在它再次發(fā)送DHCP請求并獲得地址后會更新為：Switch#show ip dhcp snooping bindingorSwitch

10、#show ip source bindingMacAddress IpAddressLease(sec) Type VLAN Interface- - - -00:0F:1F:C5:10:08 31 691023 dhcp-snooping 10 FastEthernet0/3  V.當交換機收到一個DHCPDECLINE或DHCPRELEASE廣播報文，并且報文頭的源MAC地址存在于DHCP監(jiān)聽綁定表的一個條目中。但是報文的實際接收端口與綁定表條目中的端口字段不一致時，該報文將被丟棄。    DHCPREL

11、EASE報文：此報文是客戶端主動釋放IP 地址（如Windows 客戶端使用ipconfig/release），當DHCP服務器收到此報文后就可以收回IP地址，分配給其他的客戶端了    DHCPDECLINE報文：當客戶端發(fā)現(xiàn)DHCP服務器分配給它的IP地址無法使用（如IP地址發(fā)生沖突）時，將發(fā)出此報文讓DHCP服務器禁止使用這次分配的IP地址。    VI. DHCP監(jiān)聽綁定表中的條目可以手工添加。    VII. DHCP監(jiān)聽綁定表在設備重啟后會丟失，需要重新綁定，但可以通過設置將綁定表保存在flash或者tftp/ftp服務器

12、上，待設備重啟后直接讀取，而不需要客戶端再次進行綁定    VIII. 當前主流的Cisco交換機基本都支持DHCP Snooping功能。三、DHCP Option 82當DHCP服務器和客戶端不在同一個子網(wǎng)內(nèi)時，客戶端要想從DHCP服務器上分配到IP地址，就必須由DHCP中繼代理（DHCP Relay Agent）來轉發(fā)DHCP請求包。DHCP中繼代理將客戶端的DHCP報文轉發(fā)到DHCP服務器之前，可以插入一些選項信息，以便DHCP服務器能更精確的得知客戶端的信息，從而能更靈活的按相應的策略分配IP地址和其他參數(shù)。這個選項被稱為：DHCP relay agen

13、t information option（中繼代理信息選項），選項號為82，故又稱為option 82，相關標準文檔為RFC3046。Option 82是對DHCP選項的擴展應用。選項82只是一種應用擴展，是否攜帶選項82并不會影響DHCP原有的應用。另外還要看DHCP服務器是否支持選項82。不支持選項82的DHCP服務器接收到插入了選項82的報文，或者支持選項82的DHCP服務器接收到了沒有插入選項82的報文，這兩種情況都不會對原有的基本的DHCP服務造成影響。要想支持選項82帶來的擴展應用，則DHCP服務器本身必須支持選項82以及收到的DHCP報文必須被插入選項82信息。從非信任端口收到D

14、HCP請求報文，不管DHCP服務器和客戶端是否處于同一子網(wǎng)，開啟了DHCP監(jiān)聽功能的Cisco交換機都可以選擇是否對其插入選項82信息。默認情況下，交換機將對從非信任端口接收到的DHCP請求報文插入選項82信息。當一臺開啟DHCP監(jiān)聽的匯聚交換機和一臺插入了選項82信息的邊界交換機（接入交換機）相連時：  如果邊界交換機是連接到匯聚交換機的信任端口，那么匯聚交換機會接收從信任端口收到的插入選項82的DHCP報文信息，但是匯聚交換機不會為這些信息建立DHCP監(jiān)聽綁定表條目。  如果邊界交換機是連接到匯聚交換機的非信任端口，那么匯聚交換機會丟棄從該非信任端口

15、收到的插入了選項82的DHCP報文信息。但在IOS 12.2（25）SE版本之后，匯聚交換機可以通過在全局模式下配置一條ip dhcp snooping information allow-untrusted命令。這樣匯聚交換機就會接收從邊界交換機發(fā)來的插入選項82的DHCP報文信息，并且也為這些信息建立DHCP監(jiān)聽綁定表條目。    在配置匯聚交換機下聯(lián)口時，將根據(jù)從邊界交換機發(fā)送過來的數(shù)據(jù)能否被信任而設置為信任或者非信任端口。四、DHCP Snooping的配置Switch(config)#ip dhcp snooping   /打開DHC

16、P Snooping功能Switch(config)#ip dhcp snooping vlan 10   /設置DHCP Snooping功能將作用于哪些VLANSwitch(config)#ip dhcp snooping verify mac-address/檢測非信任端口收到的DHCP請求報文的源MAC和CHADDR字段是否相同，以防止DHCP耗竭攻擊，該功能默認即為開啟Switch(config-if)#ip dhcp snooping trust   /配置接口為DHCP監(jiān)聽特性的信任接口，所有接口默認為非信任接

17、口Switch(config-if)#ip dhcp snooping limit rate 15  /限制非信任端口的DHCP報文速率為每秒15個包（默認即為每秒15個包）如果不配該語句，則show ip dhcp snooping的結果里將不列出沒有該語句的端口，可選速率范圍為1-2048建議：在配置了端口的DHCP報文限速之后，最好配置以下兩條命令Switch(config)#errdisable recovery cause dhcp-rate-limit/使由于DHCP報文限速原因而被禁用的端口能自動從err-disable狀態(tài)恢復Switch(config)#e

18、rrdisable recovery interval 30 /設置恢復時間；端口被置為err-disable狀態(tài)后，經(jīng)過30秒時間才能恢復Switch(config)#ip dhcp snooping information option /設置交換機是否為非信任端口收到的DHCP報文插入Option 82，默認即為開啟狀態(tài)Switch(config)#ip dhcp snooping information option allow-untrusted /設置匯聚交換機將接收從非信任端口收到的接入交換機發(fā)來的帶有選項82的DHCP報文Switch#ip dhc

19、p snooping binding 000f.1fc5.1008 vlan 10 31 interface fa0/2 expiry 692000  /特權模式命令；手工添加一條DHCP監(jiān)聽綁定條目；expiry為時間值，即為監(jiān)聽綁定表中的lease（租期）Switch(config)#ip dhcp snooping database flash:dhcp_snooping.db/將DHCP監(jiān)聽綁定表保存在flash中，文件名為dhcp_snooping.dbSwitch(config)#ip dhcp snooping database tft

20、p://Switch/dhcp_snooping.db /將DHCP監(jiān)聽綁定表保存到tftp服務器；為tftp服務器地址，必須事先確定可達。URL中的Switch是tftp服務器下一個文件夾；保存后的文件名為dhcp_snooping.db，當更改保存位置后會立即執(zhí)行“寫”操作。Switch(config)#ip dhcp snooping database write-delay 30/指DHCP監(jiān)聽綁定表發(fā)生更新后，等待30秒，再寫入文件，默認為300秒；可選范圍為15-86400秒Switch(config)#ip dhcp snoo

21、ping database timeout 60/指DHCP監(jiān)聽綁定表嘗試寫入操作失敗后，重新嘗試寫入操作，直到60秒后停止嘗試。默認為300秒；可選范圍為0-86400秒說明：實際上當DHCP監(jiān)聽綁定表發(fā)生改變時會先等待write-delay的時間，然后執(zhí)行寫入操作，如果寫入操作失?。ū热鐃ftp服務器不可達），接著就等待timeout的時間，在此時間段內(nèi)不斷重試。在timeout時間過后，停止寫入嘗試。但由于監(jiān)聽綁定表已經(jīng)發(fā)生了改變，因此重新開始等待write-delay時間執(zhí)行寫入操作不斷循環(huán)，直到寫入操作成功。Switch#renew ip dhcp snooping database

22、 flash:dhcp_snooping.db/特權級命令；立即從保存好的數(shù)據(jù)庫文件中讀取DHCP監(jiān)聽綁定表。五、顯示DHCP Snooping的狀態(tài)Switch#show ip dhcp snooping   /顯示當前DHCP監(jiān)聽的各選項和各端口的配置情況Switch#show ip dhcp snooping binding/顯示當前的DHCP監(jiān)聽綁定表Switch#show ip dhcp snooping database /顯示DHCP監(jiān)聽綁定數(shù)據(jù)庫的相關信息Switch#show ip dhcp snooping statistics/顯示

23、DHCP監(jiān)聽的工作統(tǒng)計Switch#clear ip dhcp snooping binding /清除DHCP監(jiān)聽綁定表；注意：本命令無法對單一條目進行清除，只能清除所有條目Switch#clear ip dhcp snooping database statistics/清空DHCP監(jiān)聽綁定數(shù)據(jù)庫的計數(shù)器Switch#clear ip dhcp snooping statistics  /清空DHCP監(jiān)聽的工作統(tǒng)計計數(shù)器六、DHCP Snooping的實例1、單交換機（DHCP服務器和DHCP客戶端位于同一VLAN） 環(huán)境：Windows2003 D

24、HCP服務器和客戶端都位于vlan 10；服務器接在fa0/1，客戶端接在fa0/22960交換機相關配置：ip dhcp snooping vlan 10ip dhcp snooping!interface FastEthernet0/1description : Connect to Win2003 DHCP Serverswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping trust!interface FastEthernet0/2description : Conne

25、ct to DHCP Clientswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15說明：  本例中交換機對于客戶端的DHCP 請求報文將插入選項82 信息；也可以通過配置no ip dhcp snooping information option命令選擇不插入選項82信息。兩種情況都可以。  客戶端端口推薦配置spanning-tree portfast命令，使得該端口不參與生成數(shù)計算，節(jié)省端口啟動時間，防

26、止可能因為端口啟動時間過長導致客戶端得不到IP地址。  開啟DHCP監(jiān)聽特性的vlan并不需要該vlan的三層接口被創(chuàng)建。2、單交換機（DHCP服務器和DHCP客戶端位于同一VLAN）    環(huán)境：Cisco IOS DHCP服務器（2821路由器）和PC客戶端都位于vlan 10；路由器接在交換機的fa0/1，客戶端接在fa0/2    2960交換機相關配置：ip dhcp snooping vlan 10ip dhcp snooping!interface FastEthernet0/1description : Co

27、nnect to IOS DHCP Server C2821_Gi0/0switchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping trust!interface FastEthernet0/2description : Connect to DHCP Clientswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15   

28、; 2821路由器相關配置：ip dhcp excluded-address !ip dhcp pool testnetwork default-router lease 8!interface GigabitEthernet0/0description : Connect to C2960_Fa0/1ip dhcp relay information trustedip address 說明：  

29、I、需要注意的是路由器連接到交換機的端口需要配置ip dhcp relay information trusted，否則客戶端將無法得到IP地址。這是因為交換機配置了（默認情況）ip dhcp snooping information option，此時交換機會在客戶端發(fā)出的DHCP請求報文中插入選項82信息。另一方面由于DHCP服務器（這里指Cisco IOS DHCP服務器）與客戶端處于同一個VLAN中，所以請求實際上并沒有經(jīng)過DHCP中繼代理。對于Cisco IOS DHCP服務器來說，如果它收到的DHCP請求被插入了選項82信息，那么它會認為這是一個從DHCP中繼代理過來的請求報文，但

30、是它檢查了該報文的giaddr字段卻發(fā)現(xiàn)是，而不是一個有效的IP地址（DHCP請求報文中的giaddr字段是該報文經(jīng)過的第一個DHCP中繼代理的IP地址，具體請參考DHCP報文格式），因此該報文被認為“非法”，所以將被丟棄。可以參考路由器上的DHCP的debug過程。Cisco IOS里有一個命令，專門用來處理這類DHCP請求報文：ip dhcp relay information trusted（接口命令）或者ip dhcp relay information trust-all（全局命令，對所有路由器接口都有效）；這兩條命令的作用就是允許被插入了選項82信息，但其giaddr

31、字段為的DHCP請求報文通過。  II、如果交換機不插入選項82信息，即配置了no ip dhcp relay information trusted，那么就不會出現(xiàn)客戶端無法得到IP地址的情況，路由器也不需要配置ip dhcp relay information trusted命令。  III、Windows DHCP服務器應該沒有檢查這類DHCP請求的機制，所以上一個實例中不論交換機是否插入選項82信息，客戶端總是可以得到IP地址。3、單交換機（DHCP服務器和DHCP客戶端位于不同VLAN）環(huán)境：Cisco IOS DHCP服務器（2

32、821路由器）的IP地址為，位于vlan 2；DHCP客戶端位于vlan 10；交換機為3560，路由器接在fa0/1，客戶端接在fa0/2。    3560交換機相關配置：ip routing！ip dhcp snooping vlan 2,10ip dhcp snooping!interface FastEthernet0/1description : Connect to IOS DHCP Server C2821_Gi0/0switchport access vlan 2switchport mode accessspanning-tree p

33、ortfastip dhcp snooping trust!interface FastEthernet0/2description : Connect to DHCP Clientswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15!interface Vlan2ip address !interface Vlan10ip address ip h

34、elper-address     2821路由器相關配置：no ip routing!ip dhcp excluded-address !ip dhcp pool testnetwork default-router lease 8!interface GigabitEthernet0/0description : Connect to C3560_Fa0/1ip address 255.255.255

35、.0!ip default-gateway 說明：本例中的路由器不需要配置ip dhcp relay information trusted命令，因為從交換機過來的DHCP請求經(jīng)過了中繼代理，其報文中的giaddr字段為，而不是，是默認正常的DHCP請求報文。4、多交換機環(huán)境（DHCP服務器和DHCP客戶端位于不同VLAN）環(huán)境：2611路由器作為DHCP服務器，IP地址為，位于vlan 2；PC位于vlan 10； 路由器接在3560的Gi0/2，PC接2960的fa0/1口，兩交換機互連口都是gi0/1。&#

36、160;   3560交換機相關配置：ip routing！interface GigabitEthernet0/1description : Connect to C2960_Gi0/1switchport trunk encapsulation dot1qswitchport mode trunk!interface GigabitEthernet0/2description : Connect to IOS DHCP Server C2611_Gi0/0switchport access vlan 2switchport mode accessspanning-tree por

37、tfast!interface Vlan2ip address !interface Vlan10ip address ip helper-address ip dhcp relay information trusted    2960交換機相關配置：ip dhcp snooping vlan 10ip dhcp snoopinginterface FastEthernet0/1description : Connect to PCswitchpor

38、t access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15！interface GigabitEthernet0/1description : Connect to C3560_Gi0/1switchport mode trunkip dhcp snooping trust    2611路由器相關配置：no ip routing!ip dhcp excluded-address !ip dhcp poo

39、l testnetwork default-router lease 8!interface GigabitEthernet0/0description : Connect to C3560_Gi0/2ip address !ip default-gateway 說明：本例中3560沒有開啟DHCP監(jiān)聽功能，2960開啟了該功能。需要注意的是int vlan 10需要配置ip dhcp relay information trusted，理由如同實

40、例2。   5、多交換機環(huán)境（DHCP服務器和DHCP客戶端位于同一VLAN）環(huán)境：3560交換機自身作為DHCP服務器；PC1和PC2都位于vlan 10；PC1接3560的fa0/1口，PC2接2960的fa0/1口；兩交換機互連口都是gi0/1    3560交換機相關配置：ip dhcp excluded-address !ip dhcp pool testnetwork default-router lease 8!ip dhcp snoopin

41、g vlan 10ip dhcp snooping information option allow-untrustedip dhcp snooping!interface FastEthernet0/1description : Connect to PC1switchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15!interface GigabitEthernet0/1description : Connect to C2960_Gi0/1switch

42、port trunk encapsulation dot1qswitchport mode trunkip dhcp snooping limit rate 360    2960交換機相關配置：ip dhcp snooping vlan 10ip dhcp snoopinginterface FastEthernet0/1description : Connect to PC2switchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15

43、！interface GigabitEthernet0/1description : Connect to C3560_Gi0/1switchport mode trunkip dhcp snooping trust說明：本例中3560和2960同時開啟了DHCP監(jiān)聽功能。從2960過來的DHCP請求報文是已經(jīng)被插入了選項82信息，如果將3560的Gi0/1設置為信任端口，那么插入了82選項的DHCP請求報文是允許通過的，但不會為其建立DHCP監(jiān)聽綁定表。即3560上只有PC1的綁定條目，而沒有PC2的綁定條目。如果此時同時部署DAI，IPSG，由于2960不支持這兩項功能，對于3560來說，

44、從2960上過來的數(shù)據(jù)可能存在IP欺騙和ARP欺騙等攻擊，是不安全的。另一方面，由于3560沒有PC2的綁定條目，而DAI和IPSG必須依賴DHCP監(jiān)聽綁定表。因此如果需要在3560上再部署DAI或者IPSG，就不能將3560的Gi0/1設置為信任端口。但是將3560的Gi0/1口設置為非信任端口以后，默認情況下，非信任端口將會丟棄收到的插入了82選項的DHCP請求報文。而從2960過來的DHCP請求報文又正好是被插入了選項82信息的。因此必須配置ip dhcp snooping information option allow-untrusted命令，否則3560將丟棄這些DHCP請求報文，

45、接在2960上的PC2將得不到IP地址。只有配置了該命令以后，3560才會接收從2960發(fā)送的插入了選項82的DHCP報文，并為這些信息建立綁定條目。   3560下聯(lián)的Gi0/1口由于是非信任端口，默認限速為每秒15個DHCP請求報文，如果2960上的所有PC都同時發(fā)起DHCP請求，可能此端口會被errdisable掉。這里假設2960為24口，因此簡單的設置限速為24*15=360。2960上聯(lián)的Gi0/1口必須被配置為信任端口，否則將丟棄從3560過來的DHCP應答報文，PC2將無法得到IP地址。C3560#show ip dhcp snoopingSwitch DH

46、CP snooping is enabledDHCP snooping is configured on following VLANs:10DHCP snooping is operational on following VLANs:10DHCP snooping is configured on the following L3 Interfaces:Insertion of option 82 is enabledcircuit-id format: vlan-mod-portremote-id format: MACOption 82 on untrusted port is all

47、owedVerification of hwaddr field is enabledDHCP snooping trust/rate is configured on the following Interfaces:Interface Trusted Rate limit (pps)-FastEthernet0/1 no 15GigabitEthernet0/1    no 360C3560#show ip dhcp snooping bindingMacAddress IpAddressLease(sec) Type VLAN Interface-

48、 - - -00:0F:1F:C5:10:08 685618 dhcp-snooping 10 FastEthernet0/100:0B:DB:08:21:E0 688023 dhcp-snooping10 GigabitEthernet0/1C2960#show ip dhcp snoopingSwitch DHCP snooping is enabledDHCP snooping is configured on following VLANs:10Insertion of option 82 is enabledcircuit-id fo

49、rmat: vlan-mod-portremote-id format: MACOption 82 on untrusted port is not allowedVerification of hwaddr field is enabledInterface Trusted Rate limit (pps)-FastEthernet0/1 no 15GigabitEthernet0/1 yes unlimitedC2960#show ip dhcp snooping bindingMacAddress IpAddress Lease(sec) Type VLAN Interface- - - -00