2026小白必看：Cisco交换机DHCP配置全攻略（含避坑指南+10个实战技巧）

2026小白必看：Cisco交换机DHCP配置全攻略（含避坑指南+10个实战技巧）

你是否遇到过办公室突然断网，一查发现有人私接了路由器？或者电脑明明连了网线却获取不到IP？这些问题十有八九和DHCP有关。今天就用最通俗的话，带你从零搞懂思科交换机的DHCP配置，连新手常踩的坑都给你标出来了！

一、先搞懂网络拓扑：就像快递分拣系统

咱们配置前先看看网络长啥样。这次的主角有三台交换机：核心层的Catalyst 6506（相当于快递总集散中心）、汇聚层的Catalyst 4506（区域分拣站）、接入层的Catalyst 2918（小区快递柜）。简单说，你的电脑连在2918上，2918连到4506，最后汇总到6506。

为啥要这么设计？打个比方：如果把网络比作供水系统，核心交换机就是自来水厂，汇聚交换机是小区水泵房，接入交换机就是你家楼下的水管总闸。这样分层管理，就算你家水管爆了，也不会影响整个小区供水。

二、DHCP Snooping：网络里的保安队长

DHCP Snooping这东西，你可以理解成小区门口的保安。它会登记每台设备的"身份证"（MAC地址）和"门牌号"（IP地址），形成一个"住户登记表"（binding database）。要是有陌生人（非法DHCP服务器）想进来发假门牌号，保安就会把他赶出去。

关键知识点：信任端口VS非信任端口

- 信任端口：就像小区的正门，只允许快递员（合法DHCP服务器）进出。在咱们的拓扑里，4506连到6506的端口就是信任端口。

- 非信任端口：相当于住户的房门，只能进不能出快递车。普通电脑、打印机连的端口都算这个类型。

为啥要保存Binding Database？

想象一下，如果保安换班时没把住户登记表交给接班人，新保安就不认识老住户了。`ip dhcp snooping database tftp://192.168.200.1/snooping.dat`这条命令，就是让保安把登记表复印一份存在TFTP服务器这个"保险柜"里。

三、手把手配置：从接入层到汇聚层

1. 接入层交换机（2918）：给设备分"小区"

2918就像小区的楼栋管理员，负责把不同住户分到不同"单元楼"（VLAN）。比如1-12号端口的电脑都分到VLAN 100，13-24号端口分到VLAN 200：

```

Switch configure terminal

Switch(config) interface range fa0/1 - 12

Switch(config-if-range) switchport access vlan 100

Switch(config-if-range) interface range fa0/13 - 24

Switch(config-if-range) switchport access vlan 200

```

注意：2918比较基础，不支持DHCP Snooping功能，所以安全防护主要靠上层的4506。

2. 汇聚层交换机（4506）：配置保安系统

这一步是重头戏，咱们要给4506装上"保安系统"（DHCP Snooping、DAI、IPSG）：

第一步：先设置VLAN和VTP

就像先规划好小区的单元楼编号：

```

Switch(config) vtp version 2

Switch(config) vtp mode client

Switch(config) vtp domain gzy

Switch(config) vtp password gzy123

Switch(config) vlan 100

Switch(config) vlan 200

```

第二步：开启DHCP Snooping

相当于聘请保安团队：

```

Switch(config) ip dhcp snooping // 全局启用保安

Switch(config) ip dhcp snooping vlan 100,200 // 只在100和200单元楼巡逻

Switch(config) no ip dhcp snooping information option // 关闭快递单额外标记（后面解释）

```

第三步：设置信任端口

告诉保安哪个门是快递入口：

```

Switch(config) interface gig1/1 // 连核心交换机的端口

Switch(config-if) switchport trunk encapsulation dot1q

Switch(config-if) switchport mode trunk

Switch(config-if) ip dhcp snooping trust // 标记为信任端口

```

第四步：开启IPSG和DAI

这两个是保安的"特殊技能"：

- IPSG（IP源防护）：检查每个进门的人是不是登记过的住户，没登记的不让进。

- DAI（动态ARP检测）：防止有人伪造门牌号（IP地址和MAC地址绑定关系）

配置命令：

```

Switch(config) ip arp inspection vlan 100,200 // 启用ARP检测

Switch(config) ip arp inspection validate src-mac ip // 同时检查MAC和IP

Switch(config-if) ip verify source vlan dhcp-snooping // 在端口启用IPSG

```

四、核心交换机（6506）：DHCP服务器配置

6506就像小区物业，负责分配门牌号（IP地址）。配置DHCP服务器其实很简单，就像设置快递柜的取件码规则：

```

Switch(config) ip dhcp excluded-address 192.168.100.1 192.168.100.99 // 保留1-99号不分配

Switch(config) ip dhcp pool VLAN100 // 创建VLAN100的地址池

Switch(dhcp-config) network 192.168.100.0 255.255.255.0 // 地址范围

Switch(dhcp-config) default-router 192.168.100.254 // 网关（相当于小区大门）

Switch(dhcp-config) dns-server 223.5.5.5 223.6.6.6 // DNS服务器（查地址用）

```

同样的方法配置VLAN200的地址池，把网段改成192.168.200.0/24就行。

五、新手避坑清单：这些错误别犯！

1. 忘记设置信任端口：刚启用DHCP Snooping时所有端口默认是非信任的，必须手动把连服务器的端口设为信任，否则会出现"能发申请但拿不到IP"的情况。

2. Option 82配置混乱：这个功能就像给快递单盖戳，如果接入层交换机也盖了戳，汇聚层没开启`ip dhcp snooping information option allow-untrusted`，就会导致包裹被退回。新手建议直接用`no ip dhcp snooping information option`关闭。

3. 数据库没保存：交换机重启后Binding表会丢失！一定要用`ip dhcp snooping database`命令保存到TFTP服务器或Flash。

4. IPSG和端口安全冲突：同时启用时要注意`ip verify source vlan dhcp-snooping port-security`命令会同时检查IP和MAC，单独用`ip verify source`只检查IP。

5. VLAN配置错误：确保接入层和汇聚层的VLAN划分一致，不然会出现"同个办公室有的能上网有的不能"的怪现象。

六、5个常见问题解决

Q1：电脑提示"无法获取IP地址"怎么办？

A：先查接入端口是不是划分到正确VLAN；再看4506上有没有给VLAN开启DHCP Snooping；最后检查上联端口有没有设为信任端口。

Q2：绑定表保存失败怎么处理？

A：检查TFTP服务器是否可达，命令里的IP地址和文件名是否正确。可以先用`ping 192.168.200.1`测试连通性。

Q3：静态IP设备无法上网？

A：需要手动添加绑定条目，比如`ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600`，把MAC、IP、端口都告诉交换机。

Q4：DAI导致网络卡顿？

A：可能是非信任端口收到大量异常ARP包。用`show ip arp inspection statistics`查看丢弃计数，怀疑有攻击时可以用`ip arp inspection limit rate 100`限制速率。

Q5：重启交换机后IPSG失效？

A：因为Binding表没恢复！执行`renew ip dhcp snooping database tftp://192.168.200.1/snooping.dat`手动加载数据库。

七、10个实用小技巧

1. 快速查看绑定表：`show ip dhcp snooping binding`，能看到所有已登记的"住户信息"。

2. 限制DHCP请求速度：在接入端口配置`ip dhcp snooping limit rate 20`，防止恶意设备疯狂申请IP导致服务器瘫痪。

3. 自动恢复端口故障：`errdisable recovery cause dhcp-rate-limit`，让被DHCP泛洪攻击禁用的端口30秒后自动恢复。

4. 验证配置是否生效：`show ip dhcp snooping`，检查VLAN和信任端口配置是否正确。

5. 手动清除绑定表：`clear ip dhcp snooping binding`，在更换设备时用这个命令刷新登记表。

6. DHCP中继配置：当服务器和客户端不在同一网段时，在VLAN接口用`ip helper-address 192.168.50.254`指定服务器地址。

7. 固定IP绑定：用`client-identifier`命令给打印机等设备分配固定IP，比如`client-identifier 01aa.bbcc.0030.00`（01开头代表以太网设备）。

8. 排除特定地址：`ip dhcp excluded-address`命令可以保留一些IP给服务器或网络设备用。

9. 检查DAI日志：`show ip arp inspection log`，能看到被丢弃的异常ARP包记录。

10. 备份配置：每次改完配置一定要`copy running-config startup-config`，不然重启就白忙活了！

八、长期使用体验

这套配置在实际环境中用了快两年，最大的感受是"安全感提升"。以前总有人私接路由器导致IP冲突，现在非信任端口根本发不出DHCP Offer包。不过要注意两点：一是2918这种低端交换机确实功能有限，条件允许的话建议换成支持Snooping的型号；二是数据库文件要定期备份，有一次TFTP服务器宕机，交换机重启后Binding表丢了一半，排查了好久才恢复。

话说回来，网络配置就像搭积木，基础打好了才能往上添砖加瓦。DHCP Snooping、IPSG、DAI这些功能看似复杂，其实都是为了让网络更稳定、更安全。只要记住"信任端口控制源头，绑定表验证身份"这两个核心原则，就算遇到问题也能快速定位。你在配置时遇到过什么奇葩问题？欢迎在评论区分享经验！

版权声明：本站所有文章皆为原创，欢迎转载或转发，请保留网站地址和作者信息。