一、   組網：

S5120SI設備作(zuò)為二層轉發設備開(kāi)啓DHCP-SNOOPING，連接DHCP-SERVER的G1/0/2 端口屬于vlan 20 且配置為Trust 端口。連接終端PC的G1/0/1 端口屬于vlan 10 。終端PC和(hé)DHCP-SERVER的網關都在S75E 設備上(shàng)，S75E 和(hé) S5120SI 之間(jiān)通(tōng)過trunk 互聯，透傳vlan 10 20。S75E的interface vlan10 接口配置dhcp relay，dhcp server為S5120SI下面DHCP-SERVER。

 

二、   問題描述：

按上(shàng)述組網正确配置發現終端pc無法正常獲取IP地址，關閉S5120SI上(shàng)的dhcp-snooping功能後立即可(kě)以獲取地址。

關鍵配置如下：

#

interface GigabitEthernet1/0/1

port access vlan 10

#

interface GigabitEthernet1/0/2

 description dianjiaozhongkong

 port access vlan 20

dhcp-snooping trust

#

interface GigabitEthernet1/0/51

 description shanglian

 port link-type trunk

 port trunk permit vlan 10 20

 dhcp-snooping trust

#

三、過程分析：

在終端PC上(shàng)抓包發現,DHCP客戶端始終無法獲取ACK報文。抓包如下：

結合現場(chǎng)組網及DHCP-SNOOPING的處理(lǐ)過程來(lái)分析，DHCP報文會(huì)兩次經過S5120SI的DHCP snooping轉發，在整個(gè)地址獲取過程中表項記錄的客戶端接口會(huì)修改為G1/0/51口，後續的應答(dá)報文就會(huì)錯誤的從G1/0/51口轉發出去,因此無法獲取IP地址。

四、   解決方法：

在連接網關的端口G1/0/51 端口配置dhcp-snooping trust no-user-binding命令使連接網關的端口不記錄客戶端IP地址和(hé)MAC地址的綁定關系即可(kě)解決上(shàng)述問題。