交换机怎么阻止非法DHCP？

防DHCP服务器仿冒功能典型配置举例Switch的端口Ethernet1/0/1与DHCP服务器端相连，端口Ethernet1/0/2，Ethernet1/0/3分别与DHCP Client A、DHCP Client B相连。在Switch上开启DHCP Snooping功能。在端口Ethernet1/0/2，Ethernet1/0/3上开启防DHCP服务器仿冒功能。当端口Ethernet1/0/2上发现仿冒DHCP服务器时，发送Trap信息；当端口Ethernet1/0/3上发现仿冒DHCP服务器时，进行管理down操作。为了避免攻击者对探测报文进行策略过滤，配置Switch上防DHCP服务器仿冒功能发送探测报文的源MAC地址为000f-e200-1111（不同于交换机的桥MAC地址）。# 开启DHCP Snooping功能。<Switch> system-viewEnter system view, return to user view with Ctrl Z.[Switch] dhcp-snooping # 配置防DHCP服务器仿冒的报文发送的源MAC地址为000f-e200-1111。[Switch] dhcp-snooping server-guard source-mac 000f-e200-1111# 在端口Ethernet1/0/2上使能防DHCP服务器功能。[Switch] interface ethernet1/0/2[Switch-Ethernet1/0/2] dhcp-snooping server-guard enable# 在端口Ethernet1/0/2上配置防DHCP服务器策略为发送Trap。[Switch-Ethernet1/0/2] dhcp-snooping server-guard method trap[Switch-Ethernet1/0/2] quit# 在端口Ethernet1/0/3上使能防DHCP服务器功能。[Switch] interface ethernet1/0/3[Switch-Ethernet1/0/3] dhcp-snooping server-guard enable# 在端口Ethernet1/0/3上配置防DHCP服务器策略为shutdown。[Switch-Ethernet1/0/3] dhcp-snooping server-guard method shutdown有些交换机不支持这种操作，可以开启dhcp snooping后将连了合法dhcp的端口设为trust