前面的文章中我們闡述了dhcp snooping的網(wǎng)絡拓撲結構，并加以說明。不知道大家是否清楚了。那么這里我們針對dhcp snooping的配置進行一下說明。希望對大家有所幫助。

配置

1、2918

Switch# configure terminal //全局配置模式

Switch(config)# interface range fa0/1 - 12

Switch(config-if-range)# switchport access vlan 100

Switch(config-if-range)# interface range fa0/13 - 24

Switch(config-if-range)# switchport access vlan 200

Switch(config-if-range)# interface gig0/1 //上連4506的端口

Switch(config-if)# //這里可不做配置，也可手工配置TRUNK

2、4506

Switch# configure terminal

Switch(config)# vtp version 2

Switch(config)# vtp mode client

Switch(config)# vtp domain gzy

Switch(config)# vtp password gzy123

Switch(config)# vlan 100

Switch(config)# vlan 200

Switch(config)# ip dhcp snooping //開啟交換機的dhcp snooping功能

Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中開啟dhcp snooping功能

Switch(config)# no ip dhcp snooping information option //禁止在DHCP報文中嵌入和刪除option 82信息

Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat

//將dhcp snooping database保存在tftp服務器（IP地址192.168.200.1）的snooping.dat文件中

Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中開啟DAI功能

Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP檢測ARP包是否合法

Switch(config)# interface gig1/1 //上連6506的端口

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# ip dhcp snooping trust

Switch(config-if)# ip arp inspection trust

Switch(config-if)# interface gig2/2 //下連2918的端口

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# ip arp inspection limit none

Switch(config-if)# ip verify source vlan dhcp-snooping

Switch(config-if)# end

Switch(config)# copy run start

備注

寫到后面越來越懶了，基本上就是這樣了。6506上的配置不寫了，很簡單。因為2918不支持上述功能，因此只能在4506上做，但這樣就只能在4506下連2918的端口上來啟用這些功能，在2918上發(fā)生的欺騙就無法防止了。沒辦法，思科的做法很奇怪?，F(xiàn)在很多國內廠家的接入層交換機都可以實現(xiàn)這些功能，比如Quidway、H3C、神洲數(shù)碼、銳捷等。由于水平有限，寫的不對的地方請高手指正。