一、   組網：

S5120SI設備作為二層轉發(fā)設備開啟DHCP-SNOOPING，連接DHCP-SERVER的G1/0/2 端口屬于vlan 20 且配置為Trust 端口。連接終端PC的G1/0/1 端口屬于vlan 10 。終端PC和DHCP-SERVER的網關都在S75E 設備上，S75E 和 S5120SI 之間通過trunk 互聯(lián)，透傳vlan 10 20。S75E的interface vlan10 接口配置dhcp relay，dhcp server為S5120SI下面DHCP-SERVER。

 

二、   問題描述：

按上述組網正確配置發(fā)現(xiàn)終端pc無法正常獲取IP地址，關閉S5120SI上的dhcp-snooping功能后立即可以獲取地址。

關鍵配置如下：

#

interface GigabitEthernet1/0/1

port access vlan 10

#

interface GigabitEthernet1/0/2

 description dianjiaozhongkong

 port access vlan 20

dhcp-snooping trust

#

interface GigabitEthernet1/0/51

 description shanglian

 port link-type trunk

 port trunk permit vlan 10 20

 dhcp-snooping trust

#

三、過程分析：

在終端PC上抓包發(fā)現(xiàn),DHCP客戶端始終無法獲取ACK報文。抓包如下：

結合現(xiàn)場組網及DHCP-SNOOPING的處理過程來分析，DHCP報文會兩次經過S5120SI的DHCP snooping轉發(fā)，在整個地址獲取過程中表項記錄的客戶端接口會修改為G1/0/51口，后續(xù)的應答報文就會錯誤的從G1/0/51口轉發(fā)出去,因此無法獲取IP地址。

四、   解決方法：

在連接網關的端口G1/0/51 端口配置dhcp-snooping trust no-user-binding命令使連接網關的端口不記錄客戶端IP地址和MAC地址的綁定關系即可解決上述問題。