局域網(wǎng)內部用戶私接路由器導致串網(wǎng)，最終電腦無法獲取到正確的DHCP服務器分配的IP地址、子網(wǎng)掩碼、網(wǎng)關、DNS服務器，從而無法上網(wǎng)，那么交換機的DHCP Snooping命令技術則可以幫我們解決該問題，下面小編就以H3C DHCP Snooping給大家舉實例講解。

備注：此技術需要網(wǎng)管型交換機，才能實現(xiàn)。

方法步驟：

一、網(wǎng)絡拓撲

拓撲說明：

1、SW1交換機，模擬路由器或DHCP核心交換機，自動分配IP地址，網(wǎng)段：192.168.10.0/24，VLAN：10

2、SW2交換機，作為核心交換機，與SW1，G1/0/1接口相互對接，設置為trunk模式，允許所有VLAN通過，G1/0/5也如此，其它接口連接：PC電腦，電腦接口劃分為VLAN10，ACCESS模式。

3、SW3交換機，模擬成用戶私接路由器，為了體現(xiàn)效果，同樣開啟DHCP，自動分配IP地址，網(wǎng)段：192.168.1.0/24，VLAN：10，將G1/0/1接口，設置為trunk模式，允許所有VLAN通過，最終模擬出串網(wǎng)效果。

備注：因為演示環(huán)境為HCL模擬器，接口顯示有誤，比如：GE_0/1，實質是：GE 1/0/1，這是H3C的軟件bug，請大家不要介意。

配置如下：

SW1交換機（模擬主路由器）

vlan 10
 
interface Vlan-interface10
ip address 192.168.10.1 255.255.255.0
 
dhcp enable
dhcp server ip-pool vlan10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 61.139.2.69 218.6.200.139
 
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all

SW2交換機（模擬核心交換機）

vlan 10
 
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
 
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 10
 
interface GigabitEthernet1/0/3
port link-mode bridge
port access vlan 10
 
interface GigabitEthernet1/0/4
port link-mode bridge
port access vlan 10
 
interface GigabitEthernet1/0/5
port link-mode bridge
port link-type trunk
port trunk permit vlan all
 

SW3交換機（模擬用戶私接路由器）

vlan 10
 
interface Vlan-interface10
ip address 192.168.1.1 255.255.255.0
 
dhcp enable
 
dhcp server ip-pool vlan10
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
 
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
 
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 10

已上配置環(huán)境，使用PC1/2/3/4自動獲取IP地址時，是有幾率獲取到192.168.1.0/24網(wǎng)段的IP地址的，或者關閉SW1交換機，就會直接獲取到，不管怎么樣，實驗環(huán)境目的是實現(xiàn)了，那么下面我們來使用H3C DHCP Snooping命令解決局域網(wǎng)串網(wǎng)的問題。

配置：SW2交換機

dhcp snooping enable
 
interface GigabitEthernet1/0/1
dhcp snooping trust
dhcp snooping binding record

正確獲取到DHCP分配的IP地址，如下圖所示：

命令解析：

dhcp snooping enable，開啟dhcp snooping全局功能，缺省情況下，在開啟DHCP Snooping功能后，設備的所有端口均為不信任端口，因此在開啟全局DHCP Snooping后，只需配置g1/0/1口為trust口就可以。

此時，若我們關閉SW1，那么PC1/2/3將再也獲取不到有效的IP地址，盡管SW2的G1/0/5接口和SW3 G1/0/1接口為UP狀態(tài)，因為不信任，所以無法獲取到SW3自動分配的IP地址。

已上實驗，大家可以仿照配置，然后，不斷關機PC1/2/3/4 或 SW1 DHCP服務器，以及反復禁用（啟用）PC接口，觀看實驗效果。

溫馨提示：H3C 老版本的交換機命令是：dhcp-snooping，比如：H3C S5500-28C-SI ，因為軟件版本不同，有的命令也略有不同（H3C Comware Platform Software，Comware Software, Version 5.20, Release 2220P02）

H3C DHCP Snooping總結：

在核心交換機有配置dhcp的情況下，與核心交換機相連的匯聚或者接入交換機配置dhcp snooping來避免串網(wǎng)這種情況是常規(guī)且必要的網(wǎng)絡配置技巧