现在有很多人因为无线互联网，但单位的无线网络不能覆盖，所以员工私下将无线路由器连接到办公室的有线网络，因为他们不熟悉无线路由器的网络线LAN口头情况，单位网络没有做MAC地址绑定等限制，此时，如果办公室所在网段的设备是通过的DHCP获取IP是的，很有可能网络不通。

问题的原因是：DHCP Server和DHCP Client没有认证机制，目前大多数无线路由器默认打开DHCP当它通过服务器功能时LAN接入单位网络后，如果此时有客户端请求IP地址，如果无线路由器是第一个回应，它将分配IP地址等网络参数，导致网络不通的问题。

此时，您可以尝试打开网络设备DHCP Snooping防止上述问题或功能(如果网络设备支持)DHCP Server模仿者攻击。

此时，您可以尝试打开网络设备DHCP Snooping防止上述问题或功能(如果网络设备支持)DHCP Server模仿者攻击。

配置DHCP Snooping防止随机接入的功能DHCP服务器或者DHCP Server模仿者攻击。

模拟单位的网络场景:单位内部有一个局域网，有多个接入交换机(如S2~S3)通过汇聚交换机连接用户设备。S1连接；内部划分VLAN，如PC1.共享打印机PriSrv1被划入VLAN 100，PC2.共享打印机PriSrv2被划入VLAN 200，VLAN 2.服务器部署区域；集中部署一个DHCP服务器(使用一个VLAN 2中路由器DHCP_Srv模拟)，为VLAN100、VLAN200的用户IP自动分配地址信息。

图1实验集中部署不同子网DHCP服务器——DHCP本次主要涉及中继配置实验摘要的配置

(一) 接入模拟无线路由器后，以PC1为例观察IP地址分配

(二) 配置DHCP Snooping相关功能

(三) 再次观察PC1的IP地址分配

图2

可以看到，PC本来应该分配IP地址在192.168.100网段，默认网关192.168.100.254、DNS119.29.29.29，现在却是IP地址192.168.1.253、默认网关192.168.1.1、DNS192.168.1.1，显然是无线路由器分配的地址。然后，它就会出现PC网络通信问题。

下面以S2例配置

全局使能DHCP

[S2]dhcp enable

全局使能DHCP Snooping

[S2]dhcp snooping enable

使用户侧接口DHCP Snooping功能

以S2的Ethernet0/0/2为例

[S2]interface Ethernet0/0/2

[S2-Ethernet0/0/2]dhcp snooping enable

[S2-Ethernet0/0/2]quit

4.配置接口的信任状态

[S2]interface GigabitEthernet 0/0/1

[S2-GigabitEthernet0/0/1]dhcp snooping trusted

1、通过dhcp snooping trust将与合法DHCP服务器直接或间接连接的接口设置为信任接口（trusted），通过其它接口dhcp Snooping enable默认设置

（Untrusted）。此后，从非信任开始（Untrusted）接口上收到的DHCP回复报告将被直接丢弃，以防止随机访问DHCP服务器或者DHCP Server模仿者攻击。

2、S2的G0/0/1口与单位相处DHCP_Srv经由S1连接，即上述与合法DHCP除服务器间接连接的接口外G0/0/1口以外的接口是其他接口或用户侧接口-在各自的接口下输入dhcp Snooping enable。

2、S2的G0/0/1口与单位相处DHCP_Srv经由S1连接，即上述与合法DHCP除服务器间接连接的接口外G0/0/1口以外的接口是其他接口或用户侧接口-在各自的接口下输入dhcp Snooping enable。

3、S3.配置方法及S2相同。4、S必要时可以做G0/0/1设置为信任接口，其他接口设置为非信任接口。

图3

图4

到目前为止，实验已经达到了预期。

以上输入和描述可能有遗漏和错误。请在下面的评论区留言纠正！

另外，如果以上实验有帮助，希望转发！

附：