如果想禁止私接家用路由器只能采用準(zhǔn)入控制+MAC認(rèn)證技術(shù)（802.1x認(rèn)證、端口安全等）來實(shí)現(xiàn)，但是很多場(chǎng)景需要允許家用路由器接入企業(yè)網(wǎng)絡(luò)（例如高校老師辦公室想通過wifi上網(wǎng)）。

此時(shí)如果某用戶將家用路由器的LAN口接到網(wǎng)絡(luò)那么DHCP就會(huì)受到干擾，因?yàn)榧矣寐酚善饕材軌蛱峁㊣P地址，此時(shí)可以配置DHCP snooping來防御。

還有一個(gè)問題就是用戶會(huì)私自配置IP地址（在高校的實(shí)驗(yàn)室經(jīng)常遇到），私自配置的IP地址有可能會(huì)引發(fā)IP地址沖突。此時(shí)可以配置IP源防護(hù)來強(qiáng)制用戶自動(dòng)獲取IP，否則用戶手動(dòng)配置的IP無法上網(wǎng)。（當(dāng)然部分企業(yè)采用微軟的AD域環(huán)境在系統(tǒng)層面實(shí)現(xiàn)強(qiáng)制用戶自動(dòng)獲取IP地址）

更多更詳細(xì)的講解-請(qǐng)檢索肖哥文章和視頻：肖哥網(wǎng)絡(luò)技術(shù)

Dhcp snooping -防止非法的dhcp 服務(wù)器

接入層交換機(jī)：（ sw3和sw2 類似）

sw2：

dhcp enable

dhcp snooping enable

vlan 8

dhcp snooping enable

int e0/0/2 將上聯(lián)口設(shè)置為信任接口（默認(rèn)所有的接口都是非信任口）

dhcp snooping trusted

dhcp 安全防護(hù)

禁止用戶手動(dòng)配置靜態(tài)ip地址，防止ip地址沖突

利用dhcp snooping 建立ip-mac-接口 的檢查映射表項(xiàng)（適合企業(yè)用戶采用動(dòng)態(tài)ip獲取的企業(yè)）

所有接入交換機(jī)連接用戶的接口：

int e0/0/1 (連接用戶的接口）

ip source check user-bind enable 開啟ip源地址檢查功能（需要上面的dhcp snooping 加持）

此時(shí)如果用戶手動(dòng)配置靜態(tài)地址，由于接口沒有映射，此時(shí)交換機(jī)會(huì)直接將報(bào)文丟棄。（模擬器bug ，不支持）使用user-bind static 靜態(tài)建立ip-mac-接口 檢查表項(xiàng)（這種方法適用于特殊用戶必須手動(dòng)配置ip地址的情況，例如某領(lǐng)導(dǎo)計(jì)算機(jī)、某共享服務(wù)器、打印機(jī) 、網(wǎng)絡(luò)攝像頭 等）：

user-bind static ip-address 192.168.31.7 mac-address 0021-cccf-1d28 interface Ethernet0/0/2

interface Ethernet0/0/2

ip source check user-bind enable

即可接在e0/0/2口的PC只能是31.7 mac是1d28 才可以 通過e0/0/2口 若ip和mac 不匹配則報(bào)文將被直接丟棄 （模擬器bug 不支持）。

查看用戶手動(dòng)靜態(tài)的綁定表項(xiàng)s2700 EI (V100R005)

查看用戶手動(dòng)靜態(tài)的綁定表項(xiàng)-模擬器 s3700 （V200R001）

將dhcp snooping 動(dòng)態(tài)綁定表項(xiàng) 保存到flash 防止重啟丟失（可選配置）

dhcp snooping user-bind autosave flash:/backup.tbl