端口为67，目标端口为68的UDP通过，从而达到使非法的DHCP服务器失效的作用。以CISCO2950为例，具体配置如下：
　　 switch #config t
　　 switch (config)#access-list 120 deny udp any eq 67 any eq 68
　　 switch (config)#access-list 120 permit ip any any
　　 写好访问控制列表后，将列表应用到各个下行端口。上行端口不能写入该条访问控制列表，否则该交换机下的所有计算机用户都不能获取到IP地址。
　　 （二）接入交换机带有DHCP-snooping功能
　　 DHCP Snooping技术DHCP Snooping是一种通过建立DHCP Snooping Binding数据库，过滤非信任的DHCP消息，从而保证网络安全的特性。DHCP Snooping就像是非信任的主机和DHCP服务器之间的防火墙。通过DHCP Snooping来区分连接到末端客户的非信任接口和连接到DHCP服务器或者其他交换机的受信任接口。
　　 DHCP Snooping Binding数据库包括如下信息：MAC地址、IP地址、租约时间、binding类型、VLAN ID以及来自本地非信任端口的接口信息，但不包含通过受信任端口互相连接的接口信息。在启用了DHCP Snooping的VLAN中，如果交换机收到来自非信任端口的DHCP包，交换机将对目的MAC地址和DHCP客户端的地址进行对比，如果符合则该包可以通过，否则将被丢弃掉，从而达到过滤非法DHCP服务器的目的。
　　 以CISCO3550为例，具体配置如下：
　　 switch #config t
　　 switch (config)# ip dhcp snooping//在全局模式下启用DHCP Snooping；
　　 switch (config)# ip dhcp snooping vlan 130 //在VLAN 130中启用DHCP Snooping；
　　 switch (config)# interface GigabitEthernet 0/10//进入交换机的第10口；
　　 switch (config-if)# ip dhcp snooping trust//将第20口设置为受信任端口；
　　 switch (config)# interface range GigabitEthernet 0/1-9 //其他端口；
　　 switch (config)# no ip dhcp snooping trust //将第21口 设置为不受信任端口；
　　 switch (config)# ip dhcp snooping limit rate 10 //设置每秒钟处理DHCP数据包上限。
　　 （三）接入交换机为不可网管交换机
　　 在获取到非法IP地址的计算机上，到通过arp -a命令查找到非法DHCP服务器的MAC地址，在上层可网管交换机中查找出该MAC地址是从可网管交换机的哪一个端口上行的，找到该端口下的交换机，然后在该交换机上通过逐条拔出网线的方式，查找出非法DHCP所在位置。
　　
　　四、结语
　　
　　 随着校园网的扩大以及移动办公的要求逐步增加，校园网若纯粹采取静态IP地址，将会加重网管人员的负担，引发的网络故障也多。DHCP服务作为一项简化网络配置的有效措施，在不同规模的网络中都有广泛的应用。通过应用DHCP动态分配IP地址，证明DHCP服务是非常有用和有效的，为网管人员对网络进行管理以及故障排查等提供方便，有效地促进了校园网网络环境的稳定和网络状况健康度。
　　
　　［参考文献］
　　［1］港湾网络软件配置指导手册［Z］.
　　［2］ZXR10路由器/以太网交换机命令手册［Z］.

，信捷职称论文写作发表网