（二）Cisco dhcp snooping配置解释

#配置dhcp snooping相关命令

Switch(config)#ip dhcp snooping  //打开DHCP Snooping功能
Switch(config)#ip dhcp snooping vlan 10   //设置DHCP Snooping功能将作用于哪些VLAN
Switch(config)#ip dhcp snooping verify  mac-address //检测非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同以防止DHCP耗竭攻击该功能默认即为开启
Switch(config-if)#ip dhcp snooping trust   //配置接口为DHCP监听特性的信任接口，所有接口默认为非信任接口
Switch(config-if)#ip dhcp snooping limit rate 15  //限制非信任端口的DHCP报文速率为每秒15个包（默认即为每秒15个包）如果不配该语句，则show ip dhcp snooping的结果里将不列出没有该语句的端口，可选速率范围为1-2048

建议：在配置了端口的DHCP报文限速之后，最好配置以下两条命令
Switch(config)#errdisable recovery cause dhcp-rate-limit  //使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复
Switch(config)#errdisable recovery interval 30 //设置恢复时间；端口被置为err-disable状态后，经过30秒时间才能恢复

Switch(config)#ip dhcp snooping information option //设置交换机是否为非信任端口收到的DHCP报文插入Option 82，默认即为开启状态
Switch(config)#ip dhcp snooping information option allow-untrusted //设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文
Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 expiry 692000  //特权模式命令；手工添加一条DHCP监听绑定条目；expiry为时间值，即为监听绑定表中的lease（租期）

Switch(config)#ip dhcp snooping database flash:dhcp_snooping.db  //将DHCP监听绑定表保存在flash中，文件名为dhcp_snooping.db
Switch(config)#ip dhcp snooping database tftp://192.168.2.5/Switch/dhcp_snooping.db //将DHCP监听绑定表保存到tftp服务器；192.168.2.5为tftp服务器地址，必须事先确定可达。URL中的Switch是tftp服务器下一个文件夹；保存后的文件名为dhcp_snooping.db，当更改保存位置后会立即执行“写”操作。
Switch(config)#ip dhcp snooping database write-delay 30  //指DHCP监听绑定表发生更新后，等待30秒，再写入文件，默认为300秒；可选范围为15-86400秒
Switch(config)#ip dhcp snooping database timeout 60  //指DHCP监听绑定表尝试写入操作失败后，重新尝试写入操作，直到60秒后停止尝试。默认为300秒；可选范围为0-86400秒
说明：实际上当DHCP监听绑定表发生改变时会先等待write-delay的时间，然后执行写入操作，如果写入操作失败（比如tftp服务器不可达），接着就等待timeout的时间，在此时间段内不断重试。在timeout时间过后，停止写入尝试。但由于监听绑定表已经发生了改变，因此重新开始等待write-delay时间执行写入操作……不断循环，直到写入操作成功。
Switch#renew ip dhcp snooping database flash:dhcp_snooping.db  //特权级命令；立即从保存好的数据库文件中读取DHCP监听绑定表。

#显示dhcp snooping相关命令

Switch#show ip dhcp snooping //显示当前DHCP监听的各选项和各端口的配置情况
Switch#show ip dhcp snooping binding //显示当前的DHCP监听绑定表
Switch#show ip dhcp snooping database //显示DHCP监听绑定数据库的相关信息
Switch#show ip dhcp snooping statistics //显示DHCP监听的工作统计
Switch#clear ip dhcp snooping binding //清除DHCP监听绑定表；注意：本命令无法对单一条目进行清除，只能清除所有条目
Switch#clear ip dhcp snooping database statistics //清空DHCP监听绑定数据库的计数器
Switch#clear ip dhcp snooping statistics //清空DHCP监听的工作统计计数器