第三層交換機(jī)是目前最主流的交換機(jī)之一，特別是適用于中小型企業(yè)中，特別是目前對于第三層交換機(jī)的DHCP Relay技術(shù)的使用。DHCP Server可以自動(dòng)為用戶設(shè)置IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS等網(wǎng)絡(luò)參數(shù)，解決客戶機(jī)位置變化（如便攜機(jī)或無線網(wǎng)絡(luò)）和客戶機(jī)數(shù)量超過可分配的IP地址的情況，簡化用戶設(shè)置，提高管理效率。但在DHCP管理使用上，存在著DHCP Server冒充、DHCP Server的Dos攻擊、用戶隨意指定IP地址造成網(wǎng)絡(luò)地址沖突等問題。

1．第三層交換機(jī)的DHCP Relay技術(shù)

早期的DHCP協(xié)議只適用于DHCP Client和Server處于同一個(gè)子網(wǎng)內(nèi)的情況，不可以跨網(wǎng)段工作。因此，為實(shí)現(xiàn)動(dòng)態(tài)主機(jī)配置，需要為每一個(gè)子網(wǎng)設(shè)置一個(gè)DHCP Server，這顯然是不經(jīng)濟(jì)的。DHCP Relay的引入解決了這一難題：局域網(wǎng)內(nèi)的DHCP Client可以通過DHCP Relay與其他子網(wǎng)的DHCP Server通信，最終取得合法的IP地址。這樣，多個(gè)網(wǎng)絡(luò)上的DHCP Client可以使用同一個(gè)DHCP Server，既節(jié)省了成本，又便于進(jìn)行集中管理。DHCP Relay配置包括：

（1）配置IP 地址
為了提高可靠性，可以在一個(gè)網(wǎng)段設(shè)置主、備DHCP Server。主、備DHCP Server構(gòu)成了一個(gè)DHCP Server組?？梢酝ㄟ^下面的命令指定主、備DHCP Server的IP地址。在系統(tǒng)視圖下進(jìn)行下列配置:dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]。

（2）配置VLAN接口對應(yīng)的組
在VLAN接口視圖下進(jìn)行下列配置：dhcp-server groupNo。

（3）使能/禁止VLAN 接口上的DHCP安全特性
使能VLAN接口上的DHCP安全特性將啟動(dòng)VLAN接口下用戶地址合法性的檢查，這樣可以杜絕用戶私自配置IP地址擾亂網(wǎng)絡(luò)秩序，同DHCP Server配合，快速、準(zhǔn)確定位病毒或干擾源。在VLAN接口視圖下進(jìn)行下列配置：address-check enable。

（4）配置用戶地址表項(xiàng)
為了使配置了DHCP Relay的VLAN內(nèi)的合法固定IP地址用戶能夠通過DHCP安全特性的地址合法性檢查，需要使用此命令為固定IP地址用戶添加一條IP地址和MAC地址對應(yīng)關(guān)系的靜態(tài)地址表項(xiàng)。如果有另外一個(gè)非法用戶配置了一個(gè)靜態(tài)IP地址，該靜態(tài)IP地址與合法用戶的固定IP地址發(fā)生沖突，執(zhí)行DHCP Relay功能的第三層交換機(jī)，可以識(shí)別出非法用戶，并拒絕非法用戶的IP與MAC地址的綁定請求。在系統(tǒng)視圖下進(jìn)行下列配置：dhcp-security static ip_address mac_address。

2．其它地址管理技術(shù)

在第三層交換機(jī)上，為了使用戶能通過合法的DHCP服務(wù)器獲取IP地址，DHCP-Snooping安全機(jī)制允許將端口設(shè)置為信任端口與不信任端口。其中信任端口連接DHCP服務(wù)器或其他第三層交換機(jī)的端口；不信任端口連接用戶或網(wǎng)絡(luò)。不信任端口將接收到的DHCP服務(wù)器響應(yīng)的DHCPACK和DHCPOFF報(bào)文丟棄；而信任端口將此DHCP報(bào)文正常轉(zhuǎn)發(fā)，從而保證了用戶獲取正確的IP地址。

（1）開啟/關(guān)閉第三層交換機(jī)DHCP-Snooping 功能
缺省情況下，第三層交換機(jī)的DHCP-Snooping功能處于關(guān)閉狀態(tài)。在系統(tǒng)視圖下進(jìn)行下列配置，啟用DHCP-Snooping功能：dhcp-snooping。

（2）配置端口為信任端口
缺省情況下，第三層交換機(jī)的端口均為不信任端口。在以太網(wǎng)端口視圖下進(jìn)行下列配置：dhcp-snooping trust。

(3)配置VLAN接口通過DHCP方式獲取IP地址，在VLAN 接口視圖下進(jìn)行下列配置:ip address dhcp-alloc。訪問管理配置——配置端口/IP地址/MAC地址的綁定?？梢酝ㄟ^下面的命令將端口、IP地址和MAC地址綁定在一起，支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC綁定方式，防止私自移動(dòng)機(jī)器設(shè)備或?yàn)E用MAC地址攻擊、IP地址盜用攻擊等，但這種方法工作量巨大。