前言

DHCP Snooping是DHCP的一种安全特性，主要应用在交换机上，作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCP Snooping功能后，网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。
在园区网中，办公网段一般会用核心交换机采取dhcp地址池分配。在某些情况下，内部人员可能会私接路由器上外网，这就有可能导致办公网段的dhcp地址不能正常获取，使办公电脑不能正常上网或者导致网络瘫痪。

拓扑图及拓扑说明

用HCL模拟器来演示下，下图为拓扑图。

拓扑说明：SW为核心交换机，JR_SW为接入交换机，RT为私接路由器，PC_4和PC_5位办公网段PC。办公网段为：192.168.10.0/24，私接路由器网段为：192.168.1.0/24

相关配置

1.配置核心SW的dhcp地址池（192.168.10.0/24），配置完成后开启PC的dhcp获取，由下图可以看到，PC_4和PC_5地址能够正常获取到。
配置语句如下：

[SW]dhcp enable
[SW]interface Vlan-interface 1
[SW-Vlan-interface1]ip address 192.168.10.1 24
[SW]dhcp server ip-pool 1
[SW-dhcp-pool-1]gateway-list 192.168.10.1
[SW-dhcp-pool-1]network 192.168.10.0 mask 255.255.255.0

2.配置私接路由器的dhcp（实际情况中私接路由器默认网段一般都为192.168.1.0/24）。
配置语句如下：

[RT]dhcp enable
[RT]interface Vlan-interface 1
[RT-Vlan-interface1]ip add 192.168.1.1 24
[RT]dhcp server ip-pool 1
[RT-dhcp-pool-1]gateway-list 192.168.1.1
[RT-dhcp-pool-1]network 192.168.1.0 mask 255.255.255.0
[RT]interface g0/0
[RT-GigabitEthernet0/0]port link-mode bridge

3.重启PC_4和PC_5，可以看到，PC_5获取到的是私接路由器的dhcp地址，在这种情况下，PC_5就存在上不了网络的情况。


4.配置接入SW的dhcp snooping，缺省情况下，在开启DHCP Snooping功能后，设备的所有端口均为不信任端口，因此在开启全局DHCP Snooping后，只需配置g1/0/1口为trust口就可以。
配置语句如下：

[JR_SW]dhcp snooping enable
[JR_SW]interface g1/0/1
[JR_SW-GigabitEthernet1/0/1]dhcp snooping trust
[JR_SW-GigabitEthernet1/0/1]dhcp snooping binding record

5.验证下配置dhcp snooping后的PC情况：关闭核心SW，再次重启PC_4。可以看到，PC_4获取到的地址为：169.254.4.0/16，这表明该PC已经无法正常获取到dhcp地址。

总结

在核心交换机有配置dhcp的情况下，与核心交换机相连的汇聚或者接入交换机配置dhcp snooping来避免这种情况是常规且必要的网络配置技巧。
原创文档，若有错误或改进之处，麻烦指点修正。