华为使能DHCP Snooping功能

小乔

背景信息
DHCP Snooping是一种DHCP安全特性，在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再使能接口或VLAN下的DHCP Snooping功能。


使能DHCP Snooping功能之前，必须已使用命令dhcp enable使能了设备的DHCP功能。

对于AR120&AR150&AR160&AR200系列产品以及AR1200系列产品，为使设备能够获取到用户的绑定表项，在接口或VLAN下使能DHCP Snooping功能之前，需确保已在该接口或VLAN对应的VLANIF口上使能了DHCP Relay或DHCP Server功能。


DHCP Snooping不支持BOOTP协议，而无盘工作站使用BOOTP协议，所以无盘工作站不能通过DHCP Snooping生成动态绑定表。由于IPSG功能和DAI功能是基于绑定表实现的，如果无盘工作站要使用以上功能，需要执行命令user-bind static配置静态绑定表。

操作步骤
执行命令system-view，进入系统视图。
执行命令dhcp snooping enable [ ipv4 | ipv6 ]，全局使能DHCP Snooping功能。
缺省情况下，设备全局未使能DHCP Snooping功能。


系统视图下，dhcp snooping enable命令是DHCP Snooping相关功能的总开关。执行undo dhcp snooping enable命令后，设备上所有DHCP Snooping相关的配置会被删除；再次执行dhcp snooping enable命令使能DHCP Snooping功能后，设备上所有DHCP Snooping相关配置将被恢复为缺省配置。

使能DHCP Snooping功能，可在系统视图、VLAN视图或接口视图下进行配置。
系统视图下：
执行命令dhcp snooping enable vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>，使能DHCP Snooping功能。
缺省情况下，设备未使能DHCP Snooping功能。

VLAN视图或接口视图下：
执行命令vlan vlan-id，进入VLAN视图；或执行命令interface interface-type interface-number，进入连接用户的接口视图。
执行命令dhcp snooping enable，使能接口或VLAN下的DHCP Snooping功能。
缺省情况下，设备未使能DHCP Snooping功能。

在VLAN视图下执行此命令，则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效；在接口下执行该命令，则对该接口下的所有DHCP报文命令功能生效。

若使用命令dot1q termination vid配置了子接口dot1q封装的单层VLAN ID，则不能在该VLAN内使能DHCP Snooping功能。