如果想禁止私接家用路由器只能采用準入控制+MAC認證技術(802.1x認證、端口安全等)來實現，但是很多場景需要允許家用路由器接入企業網絡(例如高校老師辦公室想通過wifi上網)。

此時如果某用戶將家用路由器的LAN口接到網絡那么DHCP就會受到干擾，因為家用路由器也能夠提供IP地址，此時可以配置DHCP snooping來防御。

還有一個問題就是用戶會私自配置IP地址(在高校的實驗室經常遇到)，私自配置的IP地址有可能會引發IP地址沖突。此時可以配置IP源防護來強制用戶自動獲取IP，否則用戶手動配置的IP無法上網。(當然部分企業采用微軟的AD域環境在系統層面實現強制用戶自動獲取IP地址)

更多更詳細的講解-請檢索肖哥文章和視頻：肖哥網絡技術

Dhcp snooping -防止非法的dhcp 服務器

接入層交換機：( sw3和sw2 類似)

sw2：

dhcp enable

dhcp snooping enable

vlan 8

dhcp snooping enable

int e0/0/2 將上聯口設置為信任接口(默認所有的接口都是非信任口)

dhcp snooping trusted

dhcp 安全防護

禁止用戶手動配置靜態ip地址，防止ip地址沖突

利用dhcp snooping 建立ip-mac-接口 的檢查映射表項(適合企業用戶采用動態ip獲取的企業)

所有接入交換機連接用戶的接口：

int e0/0/1 (連接用戶的接口)

ip source check user-bind enable 開啟ip源地址檢查功能(需要上面的dhcp snooping 加持)

此時如果用戶手動配置靜態地址，由于接口沒有映射，此時交換機會直接將報文丟棄。(模擬器bug ，不支持)使用user-bind static 靜態建立ip-mac-接口 檢查表項(這種方法適用于特殊用戶必須手動配置ip地址的情況，例如某領導計算機、某共享服務器、打印機 、網絡攝像頭 等)：

user-bind static ip-address 192.168.31.7 mac-address 0021-cccf-1d28 interface Ethernet0/0/2

interface Ethernet0/0/2

ip source check user-bind enable

即可接在e0/0/2口的PC只能是31.7 mac是1d28 才可以 通過e0/0/2口 若ip和mac 不匹配則報文將被直接丟棄 (模擬器bug 不支持)。

查看用戶手動靜態的綁定表項s2700 EI (V100R005)

查看用戶手動靜態的綁定表項-模擬器 s3700 (V200R001)

將dhcp snooping 動態綁定表項 保存到flash 防止重啟丟失(可選配置)

dhcp snooping user-bind autosave flash:/backup.tbl

總結

以上是生活随笔為你收集整理的防止私自接交换机_防止私接家用路由器干扰DHCP功能，禁止用户手动设置IP地址-肖哥...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。