交换机配置dhcp-snooping的优缺点是什么？

DHCPSnooping（DHCP监听）是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。

DHCP-Snooping和IGMP-Snooping完成的功能类似，都是对特定报文进行侦听。当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCPRequest或DHCPAck报文中提取并记录IP地址和MAC地址信息。

另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCPOffer报文，而不信任端口会将接收到的DHCPOffer报文丢弃。这样，可以完成交换机对假冒DHCPServer的屏蔽作用，确保客户端从合法的DHCPServer获取IP地址。

DHCP-snooping还有一个非常重要的作用就是建立一张DHCP监听绑定表，对于已存在于绑定表中的mac和ip对于关系的主机，不管是dhcp获得，还是静态指定，只要符合这个表就可以了。如果表中没有就阻塞相应流量。

支持。

创建vlan10并配置交换机vlan10地址、创建dhcp地址池vlan10并配置，设置不参于dhcp分配的地址段，设置pc端ip为自动获取，成功获取到地址。接入交换机sw2上配置dhcpsnooping。

---