對于DHCP的內容我們已經有所了解了。前面我們也講解了DHCP工作流程的相關步驟，不知道大家是否已經掌握。那么接下來的內容我們來講解一下DHCP Snooping的知識，希望對大家有用。首先讓我們看看DHCP服務器的客戶端和服務端的相關工作流程是什么樣的。

DHCP Client 發出 DHCP DISCOVER廣播報文給 DHCP Server，若 Client 在一定時間內沒有收到服務器的響應，則重發 DHCP DISCOVER 報文。DHCP Server收到 DHCP DISCOVER報文后，根據一定的策略來給 Client 分配資源(如 IP 地址)，然后發出 DHCP OFFER報文。DHCP Client 收到 DHCP OFFER報文后，發出 DHCP REQUEST請求，請求獲取服務器租約，并通告其他服務器已接受此服務器分配地址。
 
服務器收到 DHCP REQUEST報文，驗證資源是否可以分配，如果可以分配，則發送 DHCP ACK 報文；如果不可分配，則發送 DHCP NAK 報文。DHCP Client收到 DHCP ACK 報文，就開始使用服務器分配的資源。如果收到 DHCP NAK，則重新發送 DHCP DISCOVER報文。

理解DHCP Snooping

DHCP Snooping 就是 DHCP 窺探，通過對 Client 和服務器之間的 DHCP 交互報文進行窺探，實現對用戶的監控，同時 DHCP Snooping起到一個 DHCP 報文過濾的功能，通過合理的配置實現對非法服務器的過濾。下邊對 DHCP Snooping內使用到的一些術語及功能進行一些解釋：

DHCP Snooping TRUST 口：由于 DHCP 獲取 IP的交互報文是使用廣播的形式，從而存在著非法服務器影響用戶正常 IP 的獲取，更有甚者通過非法服務器欺騙竊取用戶信息的現象，為了防止非法服務器的問題，DHCP nooping 把端口分為兩種類型， TRUST口和UNTRUST口，設備只轉發TRUST口收到的DHCP Reply報文，而丟棄所有來自UNTRUST口DHCP Reply報文，這樣我們把合法的DHCP Server 連接的端口設置為 TURST 口，其他口設置為 UNTRUST 口，就可以實現對非法 DHCP Server 的屏蔽。

DHCP Snooping 綁定數據庫：在 DHCP 環境的網絡里經常會出現用戶私自設置IP 地址的問題，用戶私設 IP 地址不但使網絡難以維護，并且會導致一些合法的使用 DHCP 獲取 IP 的用戶因為沖突而無法正常使用網絡， DHCP Snooping通過窺探 Client 和 Server 之間交互的報文，把用戶獲取到的 IP信息以及用戶 MAC、VID、PORT、租約時間等信息組成一個用戶記錄表項，從而形成一個 DHCP Snooping 的用戶數據庫，配合 ARP檢測功能的使用，從而達到控制用戶上網的目的。

DHCP Snooping 就是通過對經過設備的 DHCP 報文進行合法性檢查，丟棄不合法的 DHCP 報文，并記錄用戶信息生成 DHCP Snooping 綁定數據庫供 ARP 檢測查詢使用。以下幾種類型的報文被認為是非法的 DHCP 報文：

1. UNTRUST 口收到的 DHCP reply 報文，包括 DHCPACK、DHCPNACK、DHCPOFFER 等。

2. 打開 mac 校驗時，源 MAC 與 DHCP 報文攜帶的 DHCP Client 字段值分別為不同的報文。

3. 用戶的信息存在于 DHCP Snooping 綁定數據庫中，但是端口信息與設備保存在DHCP綁定數據庫中的信息中的端口信息不一致的DHCPRELEASE報文。#p#

DHCP Snooping和ARP探測的關系

ARP 探測就是對經過設備的所有 ARP 報文進行檢查， DHCP Snooping需要提供數據庫信息供 ARP 探測使用，在開啟 DAI 功能的設備上，當收到 ARP報文時，DAI 模塊就根據報文查詢 DHCP snooping的綁定數據庫，只有當收到得 ARP 報文得 mac、ip 和端口信息都匹配時才認為收到的 ARP 報文是合法的，才進行相關的學習和轉發操作，否則丟棄該報文。

DHCP Snooping配置的其他注意事項
 
DHCP Snooping功能與 1x的 DHCP Option 82 功能是互斥的，即不能同時使用

DHCP Snooping和 DHCP Option82

DHCP Snooping僅對用戶的DHCP過程進行窺探，若想控制用戶必須使用DHCP分配的 IP 上網， 則必須使用 ARP 探測功能，而 ARP 檢測模塊需要檢測所有 ARP報文，所以會對設備的整體性能產生影響，需要用戶注意。

配置打開和關閉DHCP Snooping

缺省情況下，設備的 DHCP Snooping 功能是關閉,當配置 ip dhcp snooping 命令后，設備就打開了 dhcp snooping 功能，開始對 dhcp報文進行監控。

switch# configure terminal //進入配置模式   
switch(config)# [no] ip dhcp snooping DHCP snooping   //打開和關閉 

下邊是配置打開設備 DHCP snooping功能：

switch# configure terminal   
switch(config)# ip dhcp snooping   
switch(config)# end   
switch# 

配置DHCP源MAC檢查功能

配置此命令后，設備就會對 UNTRUST 口送上來的 DHCP Request 報文進行源MAC和 Client 字段的 MAC地址校驗檢查，丟棄 MAC值不相同的不合法的報文。默認不檢查。

switch# configure terminal //進入配置模式   
switch(config)# [no]ip dhcp snooping   
verify mac-address  

#p#打開和關閉源 MAC檢查功能

下邊的是打開 DHCP 源 MAC檢查的功能

switch# configure terminal   
switch(config)# ip dhcp snooping verify mac-address   
switch(config)# end   
switch# 

配置靜態DHCP snooping用戶

在某些應用情況下，某些端口下的用戶希望能夠靜態使用某些 IP，就可以通過靜態配置此用戶信息來實現。

switch# configure terminal  //進入配置模式
switch(config)# [no] ip dhcp snooping   
bindingmac-addrees vlan vlan_id ip   
ip-addressinterface interface-id  

設置DHCP靜態用戶到DHCP

snooping 綁定數據庫

下邊是添加一個靜態的用戶到設備的9端口：

switch# configure terminal   
switch(config)# ip dhcp snooping binding 00d0.f801.0101 vlan   
1 ip 192.168.4.243 interface gigabitEthernet 0/9   
switch(config)# end   
switch# 

配置定時寫DHCP Snooping數據庫信息到flash

為了防止設備斷電重啟導致設備上的DHCP戶信息丟失，所以DHCP Snooping 提供可配置的定時把DHCP Snooping 數據庫信息寫入 flash的命令，默認情況下，定時為 0，即不定時寫 flash。

switch# configure terminal  //進入配置模式   
switch(config)# [no] ip dhcp snooping   
database write-delay [time]  

設置DHCP延遲寫flash的時間

time：600s--86400s.缺省為 0

下邊的是設置 DHCP Snooping延遲寫 flash的時間為 3600s：

switch# configure terminal   
switch(config)# ip dhcp snooping database write-delay 3600   
switch(config)# end   
switch#      

手動把DHCP snooping數據庫信息寫到flash  
                  
為了防止設備斷電重啟導致設備上的DHCP用戶信息丟失，除了配置定時寫flash 外，也可以根據需要手動地把當前的DHCP Snooping綁定數據庫信息寫入flash。  

switch# configure terminal //進入配置模式   
switch(config)# ip dhcp snooping database   
write-to-flash  

把DHCP snooping數據庫信息寫入flash

下邊的是手動的把 DHCP Snooping 數據庫信息寫入 flash：

switch# configure terminal   
switch(config)# ip dhcp snooping database write-to-flash   
switch(config)# end 

#p#配置端口為TRUST口

用戶通過配置此命令來設置一個端口為 TRUST 口，默認情況下所有端口全部為UNTRUST 口：

switch# configure terminal //進入配置模式   
switch(config)# interface interface  //進入接口配置模式   
switch(config-if)# [no] ip dhcp snooping trust  //將端口設置為 trust 口  

下邊是配置設備的 1端口為 TRUST 口：

switch# configure terminal   
switch(config)# interface gigabitEthernet 0/1   
switch(config-if)# ip dhcp snooping trust   
switch(config-if)# end   
switch# 

清空DHCP Snooping數據庫動態用戶信息

此命令用于清空當前的 DHCP Snooping 數據庫的信息。

switch# clear ip dhcp snooping binding  //清空當前數據庫的信息  

下邊的是手動清空當前數據庫的信息：

switch# clear ip dhcp snooping binding  

#p#DHCP snooping配置顯示

顯示DHCP snooping

您可以通過以下步驟顯示 ip dhcp snooping內容 

switch# show ip dhcp snooping 

顯示 dhcp snooping 的相關配置信息

例如：

switch# show ip dhcp snooping   
Switch DHCP snooping status                    :   ENABLE   
DHCP snooping Verification of hwaddr status    :   ENABLE   
DHCP snooping database wirte-delay time         :   3600   
Interface                      Trusted   
------------------------       -------   
GigabitEthernet 0/1            YES 

顯示DHCP snooping 數據庫信息
 
您可以通過以下步驟顯示 ip dhcp snooping數據庫信息的相關內容

switch# show ip dhcp snooping binding

查看 DHCP Snooping 綁定數

據庫的靜態用戶信息

例如：

switch# show ip dhcp snooping binding  
MacAddress IpAddress   Lease(sec) Type VLAN Interface   
------------------ --------------- ---------- -----------
00d0.f801.0101 192.168.4.243 - static 1 GigabitEthernet 0/9