我单位有华三交换机共39台,一种核心交换机s5750-2台,ap交换机s5130-5台,楼层有线(网线)电脑交换机s5130-32台。由其中一台核心交换机做dhcp服务器,通过光纤连接所有s5130交换机的24口。核心交换机共划分了4个vlan,vlan1做管理,vlan2走ap信号,vlan3和vlan4走楼层的网线电脑交换机。
最近发现有人在办公室内私接路由器,并且因为大意,把网线插进了路由器lan口,并且还开启了dhcp,造成vlan4内台式机收到的都是非法的路由器dhcp信息,对办公影响很大。同时因为因为这个路由器有时在线有时不在线,而且我单位有6栋楼,我私下找了一个星期也没找到这个非法路由器。
于是我换了一个思路,如果不能找到它,干脆我就不找了,使用交换机的DHCP Snooping功能,直接屏蔽掉那个非法路由器就可以了。
dhcp snooping功能开启后,默认所有端口为非信任口,即忽略掉所有端口发送的dhcp报文。为了能正常使用网络,我们只需要把上联口即24口(按自己实际情况)设置为信任端口即可。设置完经测试完美达到目的。
借用一张华三的拓扑图,我单位有线网络的拓扑与这个相同。
用配置线连接交换机,打开超级通讯,或者使用telnet命令连接交换机
配置命令如下
dhcp snooping enable—开启DHCP Snooping命令(不用大写)
interface GigabitEthernet1/0/24----我的5130交换机上联光口(实际按自己的情况设置)
port link-type trunk----把光口设置成trunk模式,按自己情况非必须
port trunk permit vlan 1 to 4----vlan1-vlan4互通,按自己情况非必须
dhcp snooping trust----设置24口为信任端口,其余均默认为非信任端口。
quit
save
完毕
