【必配】DHCP Snooping

 

一、原理介绍：

极简网络中的DHCP Snooping功能主要有以下作用：

1、DHCP防欺骗，极简为扁平化二层网关架构，防止DHCP下联接口存在相同vlan的区域发生dhcp欺骗。（极简方案理论上不存在DHCP欺骗，主要作为二层防护。极简网络中无论核心、接入都需要在相同vlan的接口下开启”端口保护“功能，作为二层广播域隔离，天然防止dhcp欺骗。）

2、通过DHCP Snooping表给802.1x或者无感知认证（MAB）提供IP地址授权。前提需要确认开启了"AAA IP授权功能”、“dot1x valid-ip-acct enable ”、“dot1x mac-auth-bypass valid-ip-auth”、以及认证用户使用动态DHCP动态分配方式获取IP。

 

二、配置命令：

ip dhcp snooping             //必配，作为dhcp防欺骗和认证IP授权使用

ip dhcp snooping check-giaddr     //必配，作为防止开启snooping的N18K设备，对汇聚dhcp relay上来的报文丢弃的问题。

ip dhcp snooping arp-detect     //选配，启动dhcp-snooping的arp快速回收，arp老化时进行默认1s/次，最多5次

 

interface gi2/3/8                   //选配，作为Dhcp-server不在N18K，且和N18K通过二层互联的场景上。

 description link-to-dhcpserver

 ip dhcp snooping trust       //在互联dhcp-server的二层口上配置dhcp 信任口

 

 

三、注意事项：

配置ip dhcp snooping功能时，必须要配置“ip dhcp snooping check-giaddr”，该命令是为了开启snooping命令后的N18K能对汇聚设备做dhcp relay的报文进行兼容处理。“ip dhcp snooping check-giaddr”配置后无副作用，建议作为默认配置开启。

 

 

四、配置举例：

NA