单位有华三交换机共39台,核心交换机s5750-2台,ap交换机s5130-5台,楼层有线(网线)电脑交换机s5130-32台。由其中一台核心交换机做dhcp服务器,通过光纤连接所有s5130交换机的24口。核心交换机共划分了4个vlan,vlan1做管理,vlan2走ap信号,vlan3和vlan4走楼层的网线电脑交换机。

最近发现有人在办公室内私接路由器,并且因为大意,把网线插进了路由器lan口,并且还开启了dhcp,造成vlan4内台式机收到的都是非法的路由器dhcp信息,对办公影响很大。使用交换机的DHCP Snooping功能,直接屏蔽掉那个非法路由器就可以了。

dhcp snooping功能开启后,默认所有端口为非信任口,即忽略掉所有端口发送的dhcp报文。为了能正常使用网络,我们只需要把上联口即24口(按自己实际情况)设置为信任端口即可。

配置命令如下

dhcp snooping enable #开启DHCP Snooping命令(不用大写)
interface GigabitEthernet1/0/24 #s5130交换机上联光口(实际按自己的情况设置)
port link-type trunk #把光口设置成trunk模式,按自己情况非必须
port trunk permit vlan 1 to 4 #vlan1-vlan4互通,按自己情况非必须
dhcp snooping trust #设置24口为信任端口,其余均默认为非信任端口。
quit
save