DHCP監聽被開啟後，交換機限制使用者埠（非信任埠）只能夠傳送DHCP請求，丟棄來自使用者埠的所有其它DHCP報文。DHCP-snooping還有一個非常重要的作用就是建立一張DHCP監聽繫結表，既然DHCP-snooping這麼重要，那麼讓我們來看看他是怎麼樣配置的！

案例需求

1．PC可以從指定DHCP Server獲取到IP地址；

2．防止其他非法的DHCP Server影響網路中的主機。

網路拓撲：

DHCP Snooping配置步驟

<H3C>system-view //進入系統檢視

[H3C]dhcp-snooping //全域性使能dhcp-snooping功能

[H3C] interface Ethernet 1/0/2 //進入埠E1/0/2

[H3C-Ethernet1/0/2]dhcp-snooping trust //將埠E1/0/2配置為trust埠

DHCP Snooping配置關鍵點（原理）

1．當交換機開啟了 DHCP-Snooping後，會對DHCP報文進行偵聽，並可以從接收到的DHCP Request或DHCP Ack報文中提取並記錄IP地址和MAC地址資訊。另外，DHCP-Snooping允許將某個物理埠設定為信任埠或不信任埠。信任埠可以正常接收並轉發DHCP Offer報文，而不信任埠會將接收到的DHCPOffer報文丟棄。這樣，可以完成交換機對假冒DHCP Server的遮蔽作用，確保客戶端從合法的DHCP Server獲取IP地址；

2．由於DHCP伺服器提供給使用者包含了伺服器分配給使用者的IP地址的報文―“dhcp offer”報文，由E1/0/2埠進入交換機並進行轉發，因此需要將埠E1/0/2配置為“trust”埠。

如果交換機上行介面配置為Trunk 埠，並且連線到DHCP中繼裝置，也需要將上行埠配置為“trust”埠。案例如下：

H3C開啟了dhcp-snooping後客戶端獲取不到ip地址的解決方案

網路拓撲：

一般的網路結構是dhcp-server放在核心交換機H3C5500上面，但是有時候特殊原因，dhcp-server伺服器必須接在H3C3110的2層交換機上面，同時企業內部為了防止員工私自接入非法的dhcp-server又必須在接入層交換機3110上面開啟dhcp-snooping功能。那麼問題來了，一旦3110上面開啟dhcp-snooping後，所有使用者就會獲取不到ip地址。解決方案有2個：

方案一：dhcp-server如接到3層的5500核心交換機，在5500和3110互聯的trunk口上加上dhcp-snooping trust no-user-binding 。
方案二：dhcp-server如接在2層3110的接入交換機，在dhcp-server連線的交換機將埠配置為“trust”埠。
具體配置如下：
方案一：

5500：
【5500】dhcp-snooping
 [5500]interface bridge-aggregation 1
 [5500-interface bridge-aggregation 1]dhcp-snooping trust no-user-binding
3110:
[3110]dhcp-snooping
[3110]interface bridge-aggrration 1
[3110-bridge-aggrration 1]dhcp-snooping trust no-user-binding

方案二：

[3110]dhcp-snooping
[3110]interface ethernet 1/0/4
[3110-ethernet1/0/4]dhcp-snooping trust

如果2層和3層的裝置都是思科的裝置的話，就不需要這麼麻煩，直接設定ip dhcp snooping和ip dhcp snooping trust就可以了。