忽略/阻塞上游DHCP，而使用开关DHCP？

Question

编辑:简化(大幅)问题：

问题:我有一个思科IE3000 L2交换机与SVI和DHCP的支持，需要连接到我们的局域网通过上行端口和现场设备通过下行？港口。我需要连接到下行端口的设备忽略上游DHCP服务器，只接收来自交换机本身的ip地址。我还需要切换到‘交换机’之间的上行和下行端口之间的网络流量。

现在，我能够做到这一点的唯一方法是在交换机和下游设备启动并从交换机DHCP服务器分配/接收IP地址时断开上行链路。然后我重新连接上行链路，一切都很好。

如果在交换机和下行设备启动时保持上行链路连接，则下行设备从上游DHCP服务器接收ip地址。这是一个问题。

• 侧问题-当上行链路连接时，什么机制允许上游dhcp服务器覆盖本地交换机dhcp服务器？为什么交换机dhcp在主dhcp服务器之前不回答/给下行端口分配ip地址？

我还尝试将所有下行端口分配给交换机上的一个单独的VLAN。这允许下行端口从交换机获得适当的IP地址，即使连接了上行链路，但是很明显，上行端口和下行端口之间的通信是不可能的，因为它们位于单独的VLANS上。

供应商的解决方案是将他们的双归属应用计算机放在现场设备交换机和上游网络的其余部分之间，但这似乎有点麻烦，而且现场设备环境不利于PC寿命的延长。

显然，任何其他方法如果达到同样的目的，都是受欢迎的。

交换机不支持vlan间通信/SVI路由，但即使它支持，我也认为我会得到与选项1相同的结果。

Answer 1

您的场景有点混乱。如果我做得很好，您希望在L2上过滤DHCP请求。

您可以通过使用平台上可用的功能DHCP窥探功能来实现它。

您可以在不可信模式下设置所有端口，因此只有来自交换机的DHCP回复才会被接受。

DHCP窥探.配置指南

DHCP监听的作用就像不受信任的主机和DHCP服务器之间的防火墙。您可以使用DHCP窥探来区分连接到最终用户的不可信接口和连接到DHCP服务器或其他交换机的可信接口。

这就是你所看到的，过滤你的主机和上游DHCP之间的DHCP通信。

Answer 2

据我了解，您希望您的局域网只接收来自IE3000交换机的IP地址分配。如果在运行配置中设置了一个IP帮助地址，那么首先应该禁用该地址。这可能会本身澄清问题，并保持简单。

Answer 3

不确定为什么要忽略上游DHCP服务器？你不能禁用开关的DHCP并且只使用上游吗？您只想让下游客户端获得IP地址。

你试过两个VLAN之间的静态路由吗？你不需要启用路由。