三、实战强制采取DHCP上网

　　接下来笔者举两个例子来说明如何在路由交换设备上开启相关的策略与功能，让内网管理强制采取DHCP方式上网。

　　（1）Cisco设备的设置与操作：

　　在Cisco设备上通过dhcp snooping技术建立ip-mac-port的一个绑定表即可阻止手工随意设置IP上网问题的发生。

　　第一步：首先通过configure terminal 进入路由交换设备配置模式。

　　第二步：在配置模式下启用DHCP Snooping，具体指令为ip dhcp snooping。

　　第三步：在固定接口或VLAN上启用 DHCP Snooping，具体指令是ip dhcp snooping vlan XXX。

　　第四步：通过“interface 接口号”命令进入交换机对应的接口。

　　第五步：输入ip dhcp snooping trust将接口设置为受信任端口。

　　第六步：设置每秒钟处理DHCP数据包上限为500个——ip dhcp snooping limit rate 500 。（如图1）

　　第七步：之后我们的Cisco相关设备会针对当前环境建立一个ip-mac-port三方绑定表，通过这个ip-mac-port绑定表我们可以阻止手工设置网络参数问题的发生。通过show ip dhcp snooping binding命令可以查询此绑定表信息，具体格式是00:22:09:11:33:16 192.168.1.1 3209 dhcp-snooping 103 GigabitEth ernet1/0/28，依次显示MAC地址，IP地址以及应用的VLAN号还有对应的接口信息。

　　（2）华为3COM设备上的操作：

　　在华为3COM设备上开启dhcp snooping功能可以阻止客户端手工设置IP地址上网。具体操作如下。

　　第一步：设置DHCP服务器相关信息——dhcp-server 1 ip 192.168.11.2 192.168.0.25。

　　第二步：进入某端口——interface Vlan-interface3

　　第三步：为端口设置IP地址——ip address 192.168.3.254 255.255.255.0

　　第四步：指定该端口使用的DHCP服务器号——dhcp-server 1

　　第五步：强制查询连接该端口主机的IP地址设置情况，要求必须通过DHCP服务器获取IP地址信息——address-check enable，说白了就是开启dhcp snooping检查功能。（如图2）

　　四、总结：

　　强制内网客户端必须使用DHCP上网是个非常不错的管理策略，这样客户机就不能够随意越权和入侵内网了，对于企业网络管理员来说管理内网也很方便，出现问题直接查询DHCP服务器上的租约及对应地址关系即可。当然本文主要从路由交换设备下手讲解强制采取DHCP方式上网的办法，对于非Cisco和华为 3COM产品来说可以参考产品说明书或询问技术支持热线了解解决办法。