一、   组网：

S5120SI设备作为二层转发设备开启DHCP-SNOOPING，连接DHCP-SERVER的G1/0/2 端口属于vlan 20 且配置为Trust 端口。连接终端PC的G1/0/1 端口属于vlan 10 。终端PC和DHCP-SERVER的网关都在S75E 设备上，S75E 和 S5120SI 之间通过trunk 互联，透传vlan 10 20。S75E的interface vlan10 接口配置dhcp relay，dhcp server为S5120SI下面DHCP-SERVER。

 

二、   问题描述：

按上述组网正确配置发现终端pc无法正常获取IP地址，关闭S5120SI上的dhcp-snooping功能后立即可以获取地址。

关键配置如下：

#

interface GigabitEthernet1/0/1

port access vlan 10

#

interface GigabitEthernet1/0/2

 description dianjiaozhongkong

 port access vlan 20

dhcp-snooping trust

#

interface GigabitEthernet1/0/51

 description shanglian

 port link-type trunk

 port trunk permit vlan 10 20

 dhcp-snooping trust

#

三、过程分析：

在终端PC上抓包发现,DHCP客户端始终无法获取ACK报文。抓包如下：

结合现场组网及DHCP-SNOOPING的处理过程来分析，DHCP报文会两次经过S5120SI的DHCP snooping转发，在整个地址获取过程中表项记录的客户端接口会修改为G1/0/51口，后续的应答报文就会错误的从G1/0/51口转发出去,因此无法获取IP地址。

四、   解决方法：

在连接网关的端口G1/0/51 端口配置dhcp-snooping trust no-user-binding命令使连接网关的端口不记录客户端IP地址和MAC地址的绑定关系即可解决上述问题。