拓撲

拓撲可以儲存到本地，然後擴大檢視，這樣才能看的更清楚。（拖動到新視窗開啟即可）

實現控制只能獲取企業內部合法的DHCP服務分配的地址，而其餘的DHCP伺服器則不能通過。

說明：為什麼需要該技術呢，因為DHCP的工作原理是最先響應的伺服器，PC就獲取該伺服器分配的IP地址，這樣的話有些惡意的人把閘道器指向自己的電腦，然後通過抓包工具等實現抓包分析等功能，這樣造成不安全，另外就是網段不一致了，導致訪問公司內網或外網出現問題，所以我們必須杜絕該問題的出現。

正常情況下，內網的使用者都是通過內部部署的服務集叢集正確獲取到IP地址，但是如果有一個人無意或者惡意的放了一臺裝置在接入層，而該裝置正好附帶DHCP功能【比如無線路由器等】，那麼導致下面的使用者都會獲取到該伺服器提供的地址段，而不是內部規劃好的。 當有惡意DHCP伺服器出現的時候【檢視】

可以看到這次獲得了172.16.1.0網段，這個就是通過惡意的DHCP伺服器提供的。那麼導致的結果就是

訪問都失敗。

解決辦法

（1）全域性 DHCP Snooping功能 [boss]dhcp enable [boss]dhcp snooping enable

（2）面向使用者的介面開啟DHCP Snooping功能 [boss]port-group 1 [boss-port-group-1]dhcp snooping enable 說明：該介面組之前已經定義過了，可以直接在裡面呼叫即可。

（3）上聯介面【連線DHCP伺服器介面】開啟Trust功能 [boss]port-group 2 [boss-port-group-2]dhcp snooping trusted 說明：上聯介面之前定義在port-group2中，開啟即可，注意這裡連線核心A與B介面都需要開啟。 （4）測試結果

可以看到Renew一下後，又正常獲取到了IP地址了。

說明：DHCP Snooping的工作原理就是當開啟DHCP Snooping功能後，介面處於Trust的狀態則接收對應的DHCP ACK與Offer包，而其餘介面預設處於Untrust中，所以會丟棄這些包。

可以看到有動態的表項，後續的安全部署可以根據這表項來進行安全控制。

部署使用者只能通過DHCP獲取的情況下，能夠訪問內網與外網，而人為定義則不行。

說明：有時候客戶會私自定義IP地址，但是客戶又不是非常懂，那麼導致可能與閘道器或者其他PC的地址衝突了，所以我們這裡必須杜絕該種情況出現，必須通過DHCP獲取地址才能訪問內網與外網。

手動定義地址，進行訪問。

可以看到可以正常訪問。

解決辦法

開啟DAI功能+ip source guead（1）部署DAI [boss]port-group 1 [boss-port-group-1]arp anti-attack check user-bind enable 說明：預設是檢查IP 、MAC、VLAN資訊，可以修改arp anti-attack check user-bind check-item ip-address mac-address vlan

可以看到當自己定義IP地址後，會不訪問。

（2）部署ip source guead 說明：為什麼需要部署IP source guead呢，因為DAI有一個因為存在，DAI的功能是在PC第一次訪問的時候，需要放鬆ARP資訊，而DAI就是檢測ARP資訊的，如果本地沒有對應DHCP Snooping表項，就丟棄ARP報文。那麼如果客戶知道了閘道器的MAC 地址，然後手工定義一個ARP【對於懂一點技術的人來說，也是非常簡單的。】

比如手動指定了一個靜態對映

可以看到就可以訪問了。

[boss]port-group 1 [boss-port-group-1]ip source check user-bind enable 說明：開啟ip source功能，檢查，它會根據DHCP Snooping表項來檢查資料包的IP、MAC、VLAN是否與繫結表有，如果沒有就丟棄。

可以看到，就直接丟棄了。

（3）靜態繫結表項 說明：為什麼需要靜態繫結呢，因為有時候有些印表機之類的是固定IP地址，所以必須允許它們通過。 [boss]user-bind static ip-address 192.168.44.1 mac-address 4422-1111-3423 vlan 40 新增一個靜態表項，這樣就可以通過了。

可以看到沒問題了。