如果想禁止私接家用路由器只能采用準入控制+MAC認證技術（802.1x認證、端口安全等）來實現，但是很多場景需要允許家用路由器接入企業網絡（例如高校老師辦公室想通過wifi上網）。

此時如果某用戶將家用路由器的LAN口接到網絡那么DHCP就會受到干擾，因為家用路由器也能夠提供IP地址，此時可以配置DHCP snooping來防御。

還有一個問題就是用戶會私自配置IP地址（在高校的實驗室經常遇到），私自配置的IP地址有可能會引發IP地址沖突。此時可以配置IP源防護來強制用戶自動獲取IP，否則用戶手動配置的IP無法上網。（當然部分企業采用微軟的AD域環境在系統層面實現強制用戶自動獲取IP地址）

更多更詳細的講解-請檢索肖哥文章和視頻：肖哥網絡技術

Dhcp snooping -防止非法的dhcp 服務器

接入層交換機：（ sw3和sw2 類似）

sw2：

dhcp enable

dhcp snooping enable

vlan 8

dhcp snooping enable

int e0/0/2 將上聯口設置為信任接口（默認所有的接口都是非信任口）

dhcp snooping trusted

dhcp 安全防護

禁止用戶手動配置靜態ip地址，防止ip地址沖突

利用dhcp snooping 建立ip-mac-接口 的檢查映射表項（適合企業用戶采用動態ip獲取的企業）

所有接入交換機連接用戶的接口：

int e0/0/1 (連接用戶的接口）

ip source check user-bind enable 開啟ip源地址檢查功能（需要上面的dhcp snooping 加持）

此時如果用戶手動配置靜態地址，由于接口沒有映射，此時交換機會直接將報文丟棄。（模擬器bug ，不支持）使用user-bind static 靜態建立ip-mac-接口 檢查表項（這種方法適用于特殊用戶必須手動配置ip地址的情況，例如某領導計算機、某共享服務器、打印機 、網絡攝像頭 等）：

user-bind static ip-address 192.168.31.7 mac-address 0021-cccf-1d28 interface Ethernet0/0/2

interface Ethernet0/0/2

ip source check user-bind enable

即可接在e0/0/2口的PC只能是31.7 mac是1d28 才可以 通過e0/0/2口 若ip和mac 不匹配則報文將被直接丟棄 （模擬器bug 不支持）。

查看用戶手動靜態的綁定表項s2700 EI (V100R005)

查看用戶手動靜態的綁定表項-模擬器 s3700 （V200R001）

將dhcp snooping 動態綁定表項 保存到flash 防止重啟丟失（可選配置）

dhcp snooping user-bind autosave flash:/backup.tbl