h3c交换机怎么阻止非法DHCP

防DHCP服务器仿冒功能典型配置举例
Switch的端口Ethernet1/0/1与DHCP服务器端相连，端口Ethernet1/0/2，Ethernet1/0/3分别与DHCP Client A、DHCP Client B相连。

在Switch上开启DHCP Snooping功能。

在端口Ethernet1/0/2，Ethernet1/0/3上开启防DHCP服务器仿冒功能。当端口Ethernet1/0/2上发现仿冒DHCP服务器时，发送Trap信息；当端口Ethernet1/0/3上发现仿冒DHCP服务器时，进行管理down操作。

为了避免攻击者对探测报文进行策略过滤，配置Switch上防DHCP服务器仿冒功能发送探测报文的源MAC地址为000f-e200-1111（不同于交换机的桥MAC地址）。

# 开启DHCP Snooping功能。

system-view

Enter system view, return to user view with Ctrl+Z.

[Switch] dhcp-snooping

# 配置防DHCP服务器仿冒的报文发送的源MAC地址为000f-e200-1111。

[Switch] dhcp-snooping server-guard source-mac 000f-e200-1111

# 在端口Ethernet1/0/2上使能防DHCP服务器功能。

[Switch] interface ethernet1/0/2

[Switch-Ethernet1/0/2] dhcp-snooping server-guard enable

# 在端口Ethernet1/0/2上配置防DHCP服务器策略为发送Trap。

[Switch-Ethernet1/0/2] dhcp-snooping server-guard method trap

[Switch-Ethernet1/0/2] quit

# 在端口Ethernet1/0/3上使能防DHCP服务器功能。

[Switch] interface ethernet1/0/3

[Switch-Ethernet1/0/3] dhcp-snooping server-guard enable

# 在端口Ethernet1/0/3上配置防DHCP服务器策略为shutdown。

[Switch-Ethernet1/0/3] dhcp-snooping server-guard method shutdown

有些交换机不支持这种操作，可以开启dhcp snooping后将连了合法dhcp的端口设为trust。

防DHCP服务器仿冒功能典型配置举例
Switch的端口Ethernet1/0/1与DHCP服务器端相连，端口Ethernet1/0/2，Ethernet1/0/3分别与DHCP Client A、DHCP Client B相连。

在Switch上开启DHCP Snooping功能。

在端口Ethernet1/0/2，Ethernet1/0/3上开启防DHCP服务器仿冒功能。当端口Ethernet1/0/2上发现仿冒DHCP服务器时，发送Trap信息；当端口Ethernet1/0/3上发现仿冒DHCP服务器时，进行管理down操作。

为了避免攻击者对探测报文进行策略过滤，配置Switch上防DHCP服务器仿冒功能发送探测报文的源MAC地址为000f-e200-1111（不同于交换机的桥MAC地址）。

# 开启DHCP Snooping功能。

system-view

Enter system view, return to user view with Ctrl+Z.

[Switch] dhcp-snooping

# 配置防DHCP服务器仿冒的报文发送的源MAC地址为000f-e200-1111。

[Switch] dhcp-snooping server-guard source-mac 000f-e200-1111

# 在端口Ethernet1/0/2上使能防DHCP服务器功能。

[Switch] interface ethernet1/0/2

[Switch-Ethernet1/0/2] dhcp-snooping server-guard enable

# 在端口Ethernet1/0/2上配置防DHCP服务器策略为发送Trap。

[Switch-Ethernet1/0/2] dhcp-snooping server-guard method trap

[Switch-Ethernet1/0/2] quit

# 在端口Ethernet1/0/3上使能防DHCP服务器功能。

[Switch] interface ethernet1/0/3

[Switch-Ethernet1/0/3] dhcp-snooping server-guard enable

# 在端口Ethernet1/0/3上配置防DHCP服务器策略为shutdown。

[Switch-Ethernet1/0/3] dhcp-snooping server-guard method shutdown

有些交换机不支持这种操作，可以开启dhcp snooping后将连了合法dhcp的端口设为trust

具体请根据你的交换机型号到H3C网站上查操作手册
http://www.h3c.com.cn/Service/Document_Center/IP_Network_Product/Switches/