二.注意点:交换机会错认受DoS攻击

　　对于前面DHCP-snooping的绑定表中关于端口部分，是不做检测的；同时对于已存在于绑定表中的MAC和ip对于关系的主机，不管是DHCP获得，还是静态指定，只要符合这个表就可以了。如果表中没有就阻塞相应流量。

　　在开始应用Dynamic ARP Inspection时，交换机会记录大量的数据包，当端口通过的数据包过多时，交换机会认为遭受DoS攻击，从而将端口自动errdisable，造成通信中断。为了解决这个问题，我们需要加入命令errdisable recovery cause ARP-inspection

　　在Cisco网络环境下，boot request在经过了启用DHCP SNOOPING特性的设备上时，会在DHCP数据包中插入option 82的选项（具体见RFC3046）
　　这个时候，boot request中数据包中的gateway ip address:为全0，所以一旦DHCP relay 设备检测到这样的数据包，就会丢弃。

　　如果DHCP服务器使用了中继服务，那需要在网关交换机上键入如下命令:
　　方法一：
　　inter vlan7
　　ip DHCP relay information trusted
　　方法二：
　　switch（config）# ip DHCP relay information trust-all