局域網(wǎng)內(nèi)部用戶私接路由器導(dǎo)致串網(wǎng)，最終電腦無法獲取到正確的DHCP服務(wù)器分配的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS服務(wù)器，從而無法上網(wǎng)，那么交換機(jī)的DHCP Snooping命令技術(shù)則可以幫我們解決該問題，下面小編就以H3C DHCP Snooping給大家舉實(shí)例講解。

備注：此技術(shù)需要網(wǎng)管型交換機(jī)，才能實(shí)現(xiàn)。

方法步驟：

一、網(wǎng)絡(luò)拓?fù)?/span>

拓?fù)湔f明：

1、SW1交換機(jī)，模擬路由器或DHCP核心交換機(jī)，自動(dòng)分配IP地址，網(wǎng)段：192.168.10.0/24，VLAN：10

2、SW2交換機(jī)，作為核心交換機(jī)，與SW1，G1/0/1接口相互對(duì)接，設(shè)置為trunk模式，允許所有VLAN通過，G1/0/5也如此，其它接口連接：PC電腦，電腦接口劃分為VLAN10，ACCESS模式。

3、SW3交換機(jī)，模擬成用戶私接路由器，為了體現(xiàn)效果，同樣開啟DHCP，自動(dòng)分配IP地址，網(wǎng)段：192.168.1.0/24，VLAN：10，將G1/0/1接口，設(shè)置為trunk模式，允許所有VLAN通過，最終模擬出串網(wǎng)效果。

備注：因?yàn)檠菔经h(huán)境為HCL模擬器，接口顯示有誤，比如：GE_0/1，實(shí)質(zhì)是：GE 1/0/1，這是H3C的軟件bug，請(qǐng)大家不要介意。

配置如下：

SW1交換機(jī)（模擬主路由器）

vlan 10
 
interface Vlan-interface10
ip address 192.168.10.1 255.255.255.0
 
dhcp enable
dhcp server ip-pool vlan10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 61.139.2.69 218.6.200.139
 
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all

SW2交換機(jī)（模擬核心交換機(jī)）

vlan 10
 
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
 
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 10
 
interface GigabitEthernet1/0/3
port link-mode bridge
port access vlan 10
 
interface GigabitEthernet1/0/4
port link-mode bridge
port access vlan 10
 
interface GigabitEthernet1/0/5
port link-mode bridge
port link-type trunk
port trunk permit vlan all
 

SW3交換機(jī)（模擬用戶私接路由器）

vlan 10
 
interface Vlan-interface10
ip address 192.168.1.1 255.255.255.0
 
dhcp enable
 
dhcp server ip-pool vlan10
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
 
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
 
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 10

已上配置環(huán)境，使用PC1/2/3/4自動(dòng)獲取IP地址時(shí)，是有幾率獲取到192.168.1.0/24網(wǎng)段的IP地址的，或者關(guān)閉SW1交換機(jī)，就會(huì)直接獲取到，不管怎么樣，實(shí)驗(yàn)環(huán)境目的是實(shí)現(xiàn)了，那么下面我們來使用H3C DHCP Snooping命令解決局域網(wǎng)串網(wǎng)的問題。

配置：SW2交換機(jī)

dhcp snooping enable
 
interface GigabitEthernet1/0/1
dhcp snooping trust
dhcp snooping binding record

正確獲取到DHCP分配的IP地址，如下圖所示：

命令解析：

dhcp snooping enable，開啟dhcp snooping全局功能，缺省情況下，在開啟DHCP Snooping功能后，設(shè)備的所有端口均為不信任端口，因此在開啟全局DHCP Snooping后，只需配置g1/0/1口為trust口就可以。

此時(shí)，若我們關(guān)閉SW1，那么PC1/2/3將再也獲取不到有效的IP地址，盡管SW2的G1/0/5接口和SW3 G1/0/1接口為UP狀態(tài)，因?yàn)椴恍湃危�所以無法獲取到SW3自動(dòng)分配的IP地址。

已上實(shí)驗(yàn)，大家可以仿照配置，然后，不斷關(guān)機(jī)PC1/2/3/4 或 SW1 DHCP服務(wù)器，以及反復(fù)禁用（啟用）PC接口，觀看實(shí)驗(yàn)效果。

溫馨提示：H3C 老版本的交換機(jī)命令是：dhcp-snooping，比如：H3C S5500-28C-SI ，因?yàn)檐浖�版本不同，有的命令也略有不同（H3C Comware Platform Software，Comware Software, Version 5.20, Release 2220P02）

H3C DHCP Snooping總結(jié)：

在核心交換機(jī)有配置dhcp的情況下，與核心交換機(jī)相連的匯聚或者接入交換機(jī)配置dhcp snooping來避免串網(wǎng)這種情況是常規(guī)且必要的網(wǎng)絡(luò)配置技巧