
1.网络拓扑如上图所示;
2.SW交换机只使用二层功能。
Router的配置如下
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] ip address 192.168.1.254 24
[Router] dhcp enable
[Router] ip pool dhcppool
#全局使能DHCP服务
#创建地址池
[Router-ip-pool-dhcppool] network 192.168.1.0 mask 24
[Router-ip-pool-dhcppool] gateway-list 192.168.1.254
[Router-ip-pool-dhcppool] lease day 2
[Router-ip-pool-dhcppool] dns-list 8.8.8.8
[Router-ip-pool-dhcppool] quit
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] dhcp select global
#使能接口的DHCP服务功能,指定
S5300从全局地址池分配地址 交换机的配置如下:
一旦在特定的VLAN上使能DHCP Snooping,则该VLAN内的所有接口缺省都是“非信任”接口, 这些接口会将收到的DHCP回应消息直接丢弃。我们通过手工将连接着可信的DHCP服务器的接口 设置为“信任”接口,从而防止PC从非法的DHCP服务器获取地址。只有从“信任”接口收到的 DHCP回应消息才会被转发给DHCP客户端。
上面的配置中vlan视图下的dhcp snooping trusted interface GigabitEthernet 0/0/24命令也可以用 另一种方式指定,就是进入接口GE0/0/24的配置视图,然后使用dhcp snooping trusted命令指定 该接口为信任接口:
[SW] interface GigabitEthernet 0/0/24
[SW-GigabitEthernet0/0/24] dhcp snooping trusted PC已经获取到地址了。进一步的测试,可以将GE0/0/24接口恢复为非信任接口:
[SW] vlan 10
[SW-vlan10] undo dhcp snooping trusted interface GigabitEthernet 0/0/24 然后再看看PC是否能获取到地址。
[SW] vlan batch 10
[SW] interface GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1] port link-type access
[SW-GigabitEthernet0/0/1] port default vlan 10
[SW] interface GigabitEthernet 0/0/24
[SW-GigabitEthernet0/0/24] port link-type access
[SW-GigabitEthernet0/0/24] port default vlan 10
[SW] dhcp enable
#全局使能DHCP服务
[SW] dhcp snooping enable
#全局使能DHCP Snooping
[SW] vlan 10
[SW-vlan10] dhcp snooping enable
#在VLAN10使能DHCP Snnooping
[SW-vlan10] dhcp snooping trusted interface GigabitEthernet 0/0/24