预备知识：

DHCP Snooping 是 DHCP 的一种安全特性，它的的作用是：

DHCP Snooping功能1：保证客户端从合法的服务器获取IP地址，网络中如果存在私自架设的伪 DHCP 服务器，则可能导致DHCP 客户端获取错误的IP地址和网络
配置参数，无法正常通信。为了使 DHCP 客户端能通过合法的 DHCP 服务器获取IP地址，DHCP Snooping 安全机制允许路由器或交换机将端口设置
为信任端口和不信任端口：

信任端口---正常转发接收到的 DHCP 报文。连接合法DHCP 服务器、连接到上游交换机的trunk口，接入到开启了DHCP Snooping功能的二层交换机的信任端口。

不信任端口---接收到 DHCP 服务器响应的 DHCP-ACK 和 DHCP-OFFER 报文后，丢弃该报文。连接普通工作站的交换机端口设置为不信任端口，IP Source Guard会在不信任端口收到的IP源报文进行过滤控制

DHCP Snooping功能2：记录 DHCP 客户端 IP 地址与 MAC 地址的对应关系，DHCP Snooping 通过监听 DHCP-REQUEST 报文和信任端口收到的 DHCP-ACK 报文，记录 DHCP
Snooping 绑定表项，其中包括客户端的 MAC 地址、获取到的IP地址、与 DHCP 客户端连接的端口及该端口所属的VLAN 等信息。

IP 源防攻击（IP Source Guard）--- 是一种基于二层接口的源 IP 地址过滤技术，它能够防止恶意主机伪造合法主机的 IP 地址来仿冒合法主机，
还能确保非授权主机不能通过自己指定 IP 地址的方式来访问网络或攻击网络。
IP Source Guard 利用绑定表（源 IP 地址、源 MAC 地址、所属 VLAN、入接口的绑定关系）去匹配检查二层接口上收到的 IP 报文，
绑定表生成后，IPSG基于绑定表向指定的接口或者指定的 VLAN 下发 ACL，由该 ACL 来匹配检查所有 IP 报文（IPSG 只匹配检查主机发送的 IP 报文，包括 IPv4 和 IPv6 报文，
对于 ARP、PPPoE 等非 IP 报文，IPSG 不做匹配检查）。主机发送的报文，只有匹配绑定表才会允许通过，不匹配绑定表的报文都将被丢弃。

————————————————————————————————————————————————————————————————

# cisco 二层交换机 DHCP Snooping 、IP Source Guard 配置示例：

配置目的：二层交换机仅允许合法 DHCP 服务器分配了动态ip地址的工作站和指定了静态ip的合法工作站能够访问网络

!
ip dhcp snooping # 全局使能 snooping，执行此命令的目的是要使交换机所有端口都设置为不信任端口，并且产生dhcp snooping绑定表

!
ip source binding 0100.0022.0010 vlan 10 192.168.0.2 interface gigabitethernet1/0/42 # 配置 interface gigabitethernet1/0/42 静态绑定表

!
interface GigabitEthernet1/0/40 # 此端口接 DHCP 服务器或上游交换机
switchport access vlan 40
switchport mode access
ip dhcp snooping trust # 将此接口设置为信任端口

!
interface gigabitethernet1/0/42 # 此端口接 DHCP 客户端或静态分配了合法ip的工作站
switchport access vlan 42
switchport mode access
ip verify source port-security # 使能 IP source guard 用 源IP+源MAC 过滤ip包

————————————————————————————————————————————————————————————————

# 华为 二层交换机 DHCP Snooping 、IP Source Guard 配置示例：

配置目的：二层交换机仅允许合法 DHCP 服务器分配了动态ip地址的工作站和指定了静态ip的合法工作站能够访问网络

#
dhcp enable # 如果要执行"dhcp snooping enable"，那么必须先执行此命令

#
dhcp snooping enable # 全局使能 snooping，执行此命令的目的是要使交换机所有端口都设置为不信任端口，并且产生dhcp snooping绑定表

#
user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 # 在 Switch 上配置静态绑定表，固定 IP 和 MAC 的绑定关系
user-bind static ip-address 10.0.0.11 mac-address 0002-0002-0002

#
interface GigabitEthernet0/0/4 # 此端口接 DHCP 服务器或上游交换机
port link-type trunk
dhcp snooping trusted # 设置 GE0/0/4 为信任接口，从该接口收到的报文不执行 IP Source Guard 检查

#
interface GigabitEthernet0/0/1 # 此端口接 DHCP 客户端或静态分配了合法ip的工作站
port link-type access
port default vlan 20
ipv4 source check user-bind enable # 使能 IP source guard 用 源IP+源MAC 过滤ip包

#
interface GigabitEthernet0/0/2 # 此端口接 DHCP 客户端或静态分配了合法ip的工作站
port link-type access
port default vlan 20
ipv4 source check user-bind enable # 使能 IP source guard 用 源IP+源MAC 过滤ip包