(接入交换机)接入交换机和汇聚交换机有什么区别…

一、文章背景

上篇文章介绍了利用华为路由器和交换机组网，

，实现DHCP Snooping功能，得到许多粉丝鼓励，有的粉丝建议用交换机组网实现这个功能，简单点实用最好。

下面和大家分享一篇这样的案例，满足部分粉丝的要求。

简单了解一下DHCP Snooping

在一次DHCP客户端动态获取IP地址的过程中，DHCP Snooping会对客户端和服务器之间的DHCP报文进行分析和过滤，防止用户端获取到非法DHCP服务器提供的地址而无法上网。

一般在企业网络中存在私搭乱建DHCP服务器的现象的源头常见的有如下两种：

· 网络中有个别终端用的是Windows Server 2003或者2008系统，默认开启了DHCP分配IP的服务。

· 一些接入层的端口连接有开启了DHCP分配IP服务的无线路由器。

建议大家在接入层交换机上面部署DHCP Snooping功能，越靠近PC端口控制得越准确。而每个交换机的端口推荐只连接一台PC，否则如果交换机某端口下串接一个Hub，在Hub上连接了若干PC的话，那么如果凑巧该Hub下发生DHCP欺骗，由于欺骗报文都在Hub端口间直接转发了，没有受到接入层交换机的DHCP Snooping功能的控制，这样的欺骗就无法防止了。

二、组网需求

如拓扑图所示，SW2是接入交换机，下挂的PC采用DHCP获取IP地址。SW1是核心交换机，部署了DHCP服务器功能。

这次实验所有设备在一个VLAN，是默认的VLAN1，最简单的网络。

三、拓扑图

四、配置过程

4.1在核心交换机SW1上配置

4.1.1基础配置

把相应的端口加入到交换机默认vlan 1

<Huawei>sys

[Huawei]sys sw1

[sw1]int g0/0/1

[sw1-GigabitEthernet0/0/1]port link-type trunk

[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 1

给vlan1虚拟接口vlanif1设置IP

使vlanif1作为vlan1的网关

[sw1]int vlan 1

[sw1-Vlanif1]ip addr

[sw1-Vlanif1]ip address 192.168.100.254 24

使能基于接口地址池分配IP地址功能

[sw1]dhcp enable

[sw1]int vlan 1

[sw1-Vlanif1]dhcp select interface

4.2配置DHCP Snooping功能

4.2.1在接入交换机SW2上配置

基础配置

把相应的端口加入到交换机默认vlan 1

<Huawei>sys

[Huawei]sys sw2

[sw2]int g0/0/1

[sw2-GigabitEthernet0/0/1]port link-type trunk

[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 1

[sw2-GigabitEthernet0/0/1]int g0/0/2

[sw2-GigabitEthernet0/0/2]port link-type access

[sw2-GigabitEthernet0/0/2]port default vlan 1

[sw2-GigabitEthernet0/0/2]int g0/0/3

[sw2-GigabitEthernet0/0/3]port link-type access

[sw2-GigabitEthernet0/0/3]port default vlan 1

此步配置中，真机默认端口类型是access,默认属于vlan1，小伙伴可以不配置g0/0/2口和g0/0/3口试一试。但是模拟器默认的端口类型是hybrid。

4.3使能全局DHCP Snooping功能

配置设备仅处理DHCPv4报文，节约设备的CPU利用率。

[sw2]dhcp enable

[sw2]dhcp snooping enable ipv4

使能用户侧接口的DHCP Snooping功能

[sw2]int g0/0/2

[sw2-GigabitEthernet0/0/2]dhcp snooping enable

[sw2]int g0/0/3

[sw2-GigabitEthernet0/0/3]dhcp snooping enable

配置为信任接口，使得接入交换机只处理从该接口收到的DHCP服务器响应报文

[sw2]int g0/0/1

[sw2-GigabitEthernet0/0/1]dhcp snooping trusted

默认情况下接口的信任状态是非信任。

五、验证

在接入层交换机SW2上

<sw2>dis dhcp snooping configuration

在核心交换机SW1上

查看地址池中已经使用的IP地址信息

<sw1>dis ip pool int vlan1 used

这个地址正是PC1获得的地址

在接入层交换机SW2上执行命令

<sw2>dis dhcp snooping user-bind all

查看DHCP Snooping绑定表信息。

在vlan1中开启IPSG（(IP Source Guard）功能，从而实现IP与MAC的绑定巡查

[sw2-vlan1]ip source check user-bind enable

现在可以Ping通PC1

修改MAC地址以后

重新获得IP地址

由上图知悉不同的PC对应不同的MAC地址。