项目7-任务3 DHCP Snooping的配置与调试

任务3DHCPSnooping的配置与调试——项目7安全网络技术的配置与调试“网络设备安装与调试”教学资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络设备安装与调试（eNSP）（AIGC版）》出版社：电子工业出版社主编：赵海伟，吴彬，蓝永健副主编：徐龙泉，王汉明出版日期：2026年4月ISBN：

978-7-121-51949-91任务描述PART任务描述1

宏宏互联科技有限公司的局域网有大量用户，局域网内部网络面临着计算机病毒的扩散和内部人员的恶意攻击威胁。该公司已经部署了DHCP服务器。为了防止有用户将非法的DHCP服务器接入网络，如自带的无线小型路由器等，导致正常用户获取到错误的IP地址而无法上网或导致正常用户获取到冲突的IP地址，需要部署DHCPSnooping。配置DHCPSnooping的网络拓扑图如图1-1所示。任务详细描述任务描述1网络拓扑图2任务分析PART任务分析2

根据网络拓扑图为交换机命名，配置端口安全并为每台计算机配置IP地址。要实现本任务，首先需要配置交换机的名称和计算机的IP地址，然后需要配置交换机端口安全，最后需要进行验证测试，查看交换机的MAC地址表并模拟非法计算机接入，验证配置的效果。步骤提示3知识准备PART知识准备——1.DHCP3（1）什么是DHCPDHCP（动态主机配置协议），是一种自动给终端分配IP地址、子网掩码、网关、DNS的网络协议，不用手动设置IP，终端开机就能自动获取上网参数，方便管理。知识内容知识准备——1.DHCP3（2）DHCP工作流程（4步）Discover（发现）：客户端广播找DHCP服务器Offer（提供）：服务器回应，提供可用IPRequest（请求）：客户端选定服务器，请求使用IPAck（确认）：服务器确认，正式分配IP知识内容知识准备——1.DHCP3（3）

企业DHCP部署方式核心交换机/路由器做DHCP服务器接入层交换机负责透传DHCP报文大量终端自动获取IP，提升运维效率知识内容知识准备——2.DHCP存在的安全风险

3（1）非法DHCP服务器（私接路由）员工私自接家用无线路由并开启DHCP，会向内网发送错误IP，导致：终端获取错误网段IP，无法上网IP地址冲突，业务中断网关/DNS被篡改，存在钓鱼、监听风险知识内容知识准备——2.DHCP存在的安全风险

3（2）DHCP欺骗攻击攻击者伪造DHCP响应报文，抢占合法地址池，导致：合法用户拿不到IP网络瘫痪、数据泄露知识内容知识准备——2.DHCP存在的安全风险

3（3）常见故障现象PC获取陌生网段IP频繁提示IP冲突能获取IP但ping不通网关同一网段部分设备正常、部分异常知识内容知识准备——2.DHCPSnooping核心知识3（1）什么是DHCPSnoopingDHCPSnooping是交换机的二层安全特性，通过对DHCP报文进行监听、校验与过滤，阻止非法DHCP服务器向内网分配地址，保证终端仅从合法DHCP服务器获取IP配置，防范DHCP欺骗、私接路由、IP冲突等安全问题。知识内容知识准备——2.DHCPSnooping核心知识3（2）核心作用

识别并丢弃非法DHCP响应报文（Offer/Ack）

防止员工私接家用路由器导致的上网异常

建立DHCP绑定表，记录IP、MAC、端口、VLAN对应关系

提升内网地址分配安全性，减少故障与攻击知识内容知识准备——2.DHCPSnooping核心知识3（3）关键机制：信任端口/非信任端口信任端口（Trusted）允许合法DHCP服务器的响应报文通过；用于连接合法DHCP服务器、核心交换机。非信任端口（Untrusted）直接丢弃DHCP响应报文，只允许客户端请求报文通过；用于连接普通PC、终端、非法设备。默认状态：交换机所有端口默认为非信任。知识内容知识准备——2.DHCPSnooping核心知识3（4）工作原理交换机全局开启DHCPSnooping在对应VLAN内启用DHCPSnooping将连接合法服务器的端口设为信任所有非信任端口拒绝非法DHCP响应自动生成绑定表，用于安全检查与故障排查知识内容知识准备——2.DHCPSnooping核心知识3（5）典型应用场景企业/校园内网防止私接无线路由器机房、实训室防止IP地址冲突防范DHCP欺骗、钓鱼网关攻击知识内容知识准备——3.DHCPSnooping关键配置要点3（1）配置必备前提交换机已全局开启DHCP功能合法DHCP服务器配置完整（地址池、网关、DNS、租期）终端网卡设置为自动获取IP地址（DHCP模式）交换机端口与VLAN规划完成，网络连通正常知识内容知识准备——3.DHCPSnooping关键配置要点3（2）核心配置步骤全局开启DHCPSnooping在指定VLAN内启用DHCPSnooping将连接合法DHCP服务器的端口配置为信任端口配置完成后保存配置并进行功能验证知识内容知识准备——3.DHCPSnooping关键配置要点3（3）常用查看命令displaydhcpsnoopingconfiguration查看DHCPSnooping全局与VLAN配置信息displaydhcpsnoopinguser-bindall查看DHCPSnooping安全绑定表displaydhcpserverstatistics查看DHCP服务器收发报文统计知识内容4任务实施PART任务实施4阶段一：基础组网搭建目标：完成设备互联与基础通信核心任务：在eNSP搭建实训拓扑并正确连线；完成核心交换机SWA、接入交换机SWB命名；配置设备基础信息；确保交换机与PC1/PC2链路正常。操作流程任务实施4阶段二：核心交换机SWADHCP服务器配置目标：在核心交换机上提供合法DHCP服务核心任务：在SWA全局开启DHCP功能；创建并配置VLANIF接口IP地址；配置接口地址池、网关、DNS等参数；在VLANIF接口下启用DHCP服务器，为终端分配IP地址。操作流程任务实施4阶段三：接入交换机SWBDHCPSnooping配置目标：部署DHCPSnooping防止非法DHCP服务器接入核心任务：在SWB全局开启DHCPSnooping；在对应VLAN下启用DHCPSnooping；将连接核心交换机的端口配置为信任端口，下联PC端口保持非信任状态操作流程5任务测试PART任务测试5（1）查看DHCPSnooping配置信息在接入交换机SWB上执行displaydhcpsnoopingconfiguration，查看全局与VLAN配置、信任端口状态，确认配置无误并截图。（2）终端获取合法IP地址在PC1/PC2上开启DHCP模式，执行ipconfig/renew重新获取地址，再用ipconfig查看，确认获取到SWA分配的合法IP、掩码、网关、DNS并截图。操作流程任务测试5（3）查看DHCP地址池使用情况在核心交换机SWA上执行displayippoolinterfaceVlanif10used，查看已分配IP、占用状态，确认地址池正常工作并截图。（4）查看DHCPSnooping绑定表在接入交换机SWB上执行displaydhcpsnoopinguser-bindall，查看动态绑定表项，确认IP、MAC、VLAN、接口信息正常生成并截图。操作流程任务测试5（5）网络连通性验证使用PCping网关地址，确认获取合法IP后网络通信正常，验证DHCP服务与安全配置生效。操作流程6任务拓展PART任务拓展6

宏宏互联网络有限公司为了确保网络环境的稳定性和安全性，决定采取一系列内网安全措