（二）Cisco dhcp snooping配置解释

#配置dhcp snooping相关命令

Switch(config)#ip dhcp snooping  //打开DHCP Snooping功能
Switch(config)#ip dhcp snooping vlan 10   //设置DHCP Snooping功能将做用于哪些VLAN
Switch(config)#ip dhcp snooping verify  mac-address //检测非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同以防止DHCP耗竭攻击该功能默认即为开启
Switch(config-if)#ip dhcp snooping trust   //配置接口为DHCP监听特性的信任接口，全部接口默认为非信任接口
Switch(config-if)#ip dhcp snooping limit rate 15  //限制非信任端口的DHCP报文速率为每秒15个包（默认即为每秒15个包）若是不配该语句，则show ip dhcp snooping的结果里将不列出没有该语句的端口，可选速率范围为1-2048

建议：在配置了端口的DHCP报文限速以后，最好配置如下两条命令
Switch(config)#errdisable recovery cause dhcp-rate-limit  //使因为DHCP报文限速缘由而被禁用的端口能自动从err-disable状态恢复
Switch(config)#errdisable recovery interval 30 //设置恢复时间；端口被置为err-disable状态后，通过30秒时间才能恢复

Switch(config)#ip dhcp snooping information option //设置交换机是否为非信任端口收到的DHCP报文插入Option 82，默认即为开启状态
Switch(config)#ip dhcp snooping information option allow-untrusted //设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文
Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 expiry 692000  //特权模式命令；手工添加一条DHCP监听绑定条目；expiry为时间值，即为监听绑定表中的lease（租期）

Switch(config)#ip dhcp snooping database flash:dhcp_snooping.db  //将DHCP监听绑定表保存在flash中，文件名为dhcp_snooping.db
Switch(config)#ip dhcp snooping database tftp://192.168.2.5/Switch/dhcp_snooping.db //将DHCP监听绑定表保存到tftp服务器；192.168.2.5为tftp服务器地址，必须事先肯定可达。URL中的Switch是tftp服务器下一个文件夹；保存后的文件名为dhcp_snooping.db，当更改保存位置后会当即执行“写”操做。
Switch(config)#ip dhcp snooping database write-delay 30  //指DHCP监听绑定表发生更新后，等待30秒，再写入文件，默认为300秒；可选范围为15-86400秒
Switch(config)#ip dhcp snooping database timeout 60  //指DHCP监听绑定表尝试写入操做失败后，从新尝试写入操做，直到60秒后中止尝试。默认为300秒；可选范围为0-86400秒
说明：实际上当DHCP监听绑定表发生改变时会先等待write-delay的时间，而后执行写入操做，若是写入操做失败（好比tftp服务器不可达），接着就等待timeout的时间，在此时间段内不断重试。在timeout时间事后，中止写入尝试。但因为监听绑定表已经发生了改变，所以从新开始等待write-delay时间执行写入操做……不断循环，直到写入操做成功。
Switch#renew ip dhcp snooping database flash:dhcp_snooping.db  //特权级命令；当即从保存好的数据库文件中读取DHCP监听绑定表。

 

#显示dhcp snooping相关命令

 

Switch#show ip dhcp snooping //显示当前DHCP监听的各选项和各端口的配置状况
Switch#show ip dhcp snooping binding //显示当前的DHCP监听绑定表
Switch#show ip dhcp snooping database //显示DHCP监听绑定数据库的相关信息
Switch#show ip dhcp snooping statistics //显示DHCP监听的工做统计
Switch#clear ip dhcp snooping binding //清除DHCP监听绑定表；注意：本命令没法对单一条目进行清除，只能清除全部条目
Switch#clear ip dhcp snooping database statistics //清空DHCP监听绑定数据库的计数器
Switch#clear ip dhcp snooping statistics //清空DHCP监听的工做统计计数器