单位有华三交换机共39台，核心交换机s5750-2台，ap交换机s5130-5台，楼层有线（网线）电脑交换机s5130-32台。由其中一台核心交换机做dhcp服务器，通过光纤连接所有s5130交换机的24口。核心交换机共划分了4个vlan，vlan1做管理，vlan2走ap信号，vlan3和vlan4走楼层的网线电脑交换机。

最近发现有人在办公室内私接路由器，并且因为大意，把网线插进了路由器lan口，并且还开启了dhcp，造成vlan4内台式机收到的都是非法的路由器dhcp信息，对办公影响很大。使用交换机的DHCP Snooping功能，直接屏蔽掉那个非法路由器就可以了。

dhcp snooping功能开启后，默认所有端口为非信任口，即忽略掉所有端口发送的dhcp报文。为了能正常使用网络，我们只需要把上联口即24口（按自己实际情况）设置为信任端口即可。

配置命令如下

dhcp-snooping #开启DHCP Snooping命令（不用大写）
interface GigabitEthernet1/0/24 #s5130交换机上联光口（实际按自己的情况设置）
port link-type trunk #把光口设置成trunk模式，按自己情况非必须
port trunk permit vlan 1 to 4 #vlan1-vlan4互通，按自己情况非必须
dhcp-snooping trust #设置24口为信任端口，其余均默认为非信任端口。
quit
save

权限常规配置

public-key local create rsa
ssh server enable

user-interface aux 0
 authentication-mode scheme
user-interface vty 0 3
 authentication-mode scheme
 protocol inbound ssh
 #user privilege level 3
user-interface vty 4 15

local-user admin
 password cipher 123456
 authorization-attribute level 3
 service-type ssh
ssh user admin service-type stelnet authentication-type password

local-user operator
 password cipher 123456
 authorization-attribute level 2
 service-type ssh terminal
 ssh user operator service-type stelnet authentication-type password

local-user auditor
 password cipher 123456
 authorization-attribute level 1
 service-type ssh
 ssh user auditor service-type stelnet authentication-type password


#local-user cuser
# password cipher 123456
# authorization-attribute level 2
# service-type terminal

dhcp-snooping
interface Ten-GigabitEthernet1/0/51
 port link-type trunk
 port trunk permit vlan all
 dhcp-snooping trust

stp enable
stp edged-port enable