H3C DHCP Snooping实例讲解 局域网串网导致无法上网【解决方法】

在传统二层网络中，最容易出现的网络故障就是，局域网内部用户私接路由器导致串网，最终电脑无法获取到正确的DHCP服务器分配的IP地址、子网掩码、网关、DNS服务器，从而无法上网，那么交换机的DHCP Snooping命令技术则可以帮我们解决该问题，下面IT备忘录小编就以H3C DHCP Snooping给大家举实例讲解。

备注：此技术需要网管型交换机，才能实现。

方法步骤：

一、网络拓扑

拓扑说明：

1、SW1交换机，模拟路由器或DHCP核心交换机，自动分配IP地址，网段：192.168.10.0/24，VLAN：10

2、SW2交换机，作为核心交换机，与SW1，G1/0/1接口相互对接，设置为trunk模式，允许所有VLAN通过，G1/0/5也如此，其它接口连接：PC电脑，电脑接口划分为VLAN10，ACCESS模式。

3、SW3交换机，模拟成用户私接路由器，为了体现效果，同样开启DHCP，自动分配IP地址，网段：192.168.1.0/24，VLAN：10，将G1/0/1接口，设置为trunk模式，允许所有VLAN通过，最终模拟出串网效果。

备注：因为演示环境为HCL模拟器，接口显示有误，比如：GE_0/1，实质是：GE 1/0/1，这是H3C的软件bug，请大家不要介意。

配置如下：

SW1交换机（模拟主路由器）

vlan 10interface Vlan-interface10ip address 192.168.10.1 255.255.255.0dhcp enabledhcp server ip-pool vlan10gateway-list 192.168.10.1network 192.168.10.0 mask 255.255.255.0dns-list 61.139.2.69 218.6.200.139interface GigabitEthernet1/0/1port link-mode bridgeport link-type trunkport trunk permit vlan all

SW2交换机（模拟核心交换机）

vlan 10interface GigabitEthernet1/0/1port link-mode bridgeport link-type trunkport trunk permit vlan allinterface GigabitEthernet1/0/2port link-mode bridgeport access vlan 10interface GigabitEthernet1/0/3port link-mode bridgeport access vlan 10interface GigabitEthernet1/0/4port link-mode bridgeport access vlan 10interface GigabitEthernet1/0/5port link-mode bridgeport link-type trunkport trunk permit vlan all

SW3交换机（模拟用户私接路由器）

vlan 10interface Vlan-interface10ip address 192.168.1.1 255.255.255.0dhcp enabledhcp server ip-pool vlan10gateway-list 192.168.1.1network 192.168.1.0 mask 255.255.255.0dns-list 114.114.114.114 8.8.8.8interface GigabitEthernet1/0/1port link-mode bridgeport link-type trunkport trunk permit vlan allinterface GigabitEthernet1/0/2port link-mode bridgeport access vlan 10

已上配置环境，使用PC1/2/3/4自动获取IP地址时，是有几率获取到192.168.1.0/24网段的IP地址的，或者关闭SW1交换机，就会直接获取到，不管怎么样，实验环境目的是实现了，那么下面我们来使用H3C DHCP Snooping命令解决局域网串网的问题。

配置：SW2交换机

dhcp snooping enableinterface GigabitEthernet1/0/1dhcp snooping trustdhcp snooping binding record

正确获取到DHCP分配的IP地址，如下图所示：

命令解析：

dhcp snooping enable，开启dhcp snooping全局功能，缺省情况下，在开启DHCP Snooping功能后，设备的所有端口均为不信任端口，因此在开启全局DHCP Snooping后，只需配置g1/0/1口为trust口就可以。

此时，若我们关闭SW1，那么PC1/2/3将再也获取不到有效的IP地址，尽管SW2的G1/0/5接口和SW3 G1/0/1接口为UP状态，因为不信任，所以无法获取到SW3自动分配的IP地址。

已上实验，大家可以仿照配置，然后，不断关机PC1/2/3/4 或 SW1 DHCP服务器，以及反复禁用（启用）PC接口，观看实验效果。

温馨提示：H3C 老版本的交换机命令是：dhcp-snooping，比如：H3C S5500-28C-SI ，因为软件版本不同，有的命令也略有不同（H3C Comware Platform Software，Comware Software, Version 5.20, Release 2220P02）

H3C DHCP Snooping总结：

在核心交换机有配置dhcp的情况下，与核心交换机相连的汇聚或者接入交换机配置dhcp snooping来避免串网这种情况是常规且必要的网络配置技巧。