当DHCP客户机和DHCP服务器不在同一个网段时，由DHCP中继传递DHCP报文。增加DHCP中继功能的好处是不必为每个网段都设置DHCP服务器，同一个DHCP服务器可以为很多个子网的客户机提供网络配置参数，即节约了成本又方便了管理。这就是DHCP中继的功能。

      通过设置 DHCP Snooping防止恶意用户伪装DHCP Server。

实验拓扑图如下所示

在交换机A上划分两个基于端口的VLAN：VLAN10，VLAN100。

交换机B恢复出厂设置，不作任何配置。服务器的地址为10.1.157.1/24，DHCP服务器的地址池中的地址范围为：192.168.10.2/24-192.168.10.100/24。

VLAN	IP	端口成员
10	192.168.10.1/24	1
100	10.1.157.100/24	24

操作步骤：

步骤1：在交换机A上创建vlan10和vlan100。并根据表添加相应端口。

步骤2：在交换机A上根据表给交换机VLAN10和VLAN100设置IP地址。

步骤3：在交换机A上配置DHCP中继。

switchA(Config)#service dhcp                            //启用dhcp服务

switchA(Config)#ip forward-protocol udp bootps　          //转发udp协议

switchA(Config)#interface vlan 10　　　　　              //进入vlan10接口

switchA(Config-If-Vlan10)#ip helper-address 10.1.157.1      //指定dhcp服务器地址

第四步：验证实验，其它客户端上可以获取到IP地址。

第五步：在交换机B上通过设置 DHCP Snooping防止恶意用户伪装DHCP Server。

SwitchB(Config)#ip dhcp snooping enable

SwitchB(Config)#ip dhcp snooping binding enable

SwitchB(Config)#interface ethernet 0/0/1-2

SwitchB(config-if-port-range) #ip dhcp snooping trust

               //DHCP服务器连接端口需设置为Trust

SwitchB(config-if-port-range)#exit

DHCP Snooping功能：

               实现原理：接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。

               1 功能优点：被动侦听，自动绑定，对信息点数量没有要求，适用于IP地址动态分配环境下广泛实施。

               2  功能缺点：IP地址静态环境下，需要手工添加绑定关系，配置量较大。