在常规的网络规划中，网络工程师通常会根据业务终端规模进行IP模式分配，在终端数量较少的单位，使用常规静态分配IP的方式，在业务规模较大的单位，手工配置静态地址将变为繁琐，难以做到高效管理，网络工程师会将网络配置改为DHCP服务器获取地址方式。

在过去通常在内网配置主备DHCP服务器实现，现今随着核心交换机运算性能的强大，当前更多直接在核心交换机上配置DHCP Server ，从而让特定部门能动态获取到合法的上网IP地址。

在VRRP组网的环境下，为了防止主备切换产生IP冲突，在配置DHCP时，主核心分配地址段的前一半地址，备核心分配地址的后一半地址。

主核心参考配置：

备核心参考配置：

在DHCP服务器配置完成后，需要设置终端网卡为自动获取地址，这样即可正常上网。但过程会发现一个问题，刚开启的终端获取地址的时间比较长，这是由于接入层交换机开启了生成树协议，当有终端接入之后导致生成树重新计算收敛，获取IP时间比较长，通过关闭接口的生成树协议或者把连接终端的交换机接口配置为边缘端口即可解决。

关闭接口生成树协议参考配置：

连接终端边缘端口参考配置：

完成配置之后，所属网段获取IP慢的问题可以有效得到解决。配置完DHCP功能之后，为了防止员工在内网私接小路由并开启DHCP自动分配地址的功能，导致内网合法用户获取到小路由的地址而不能上网，对此场景，还需要配置DHCP Snooping功能。

在接入交换机上开启DHCP Snooping功能参加配置：

在终端接口上使能DHCP Snooping功能参考配置：

在连接DHCP核心交换机上行的端口上使能DHCP Snooping功能，并将此接口配置为信任接口参考配置：

在写入以上配置后，G0/0/1-G0/0/2口下面的设备即可正常获取到合法的IP，内网私接小路由分配地址也不会干扰到内网正常用户。另外为了防止内部用户私自更改IP地址后攻击内部网络，在接入层开启DHCP Snooping 功能后，还需要开启IP报文检查功能

配置参考如下：

这样ACC1从VLAN 10收到报文后将报文与动态绑定表的表项进行匹配，放行匹配的报文，丢弃不匹配的报文，如果不需要对整个VLAN收到的报文进行检查，可以只针对某个终端的对接口上开启IP报文检查功能。