二，网管支招强制DHCP上网的思路
　　网管支招强制DHCP上网的思路来自于网络厂商，不管是华为3C0M公司还是CISCO厂商，他们都针对强制DHCP上网提供了相应的技术支持。对于Cisco公司的产品来说我们可以通过dhcp-snooping和Dynamic ARP Inspection来完成；对于华为3COM来说通过ip-snooping技术也可以有效解决。

　　华为的dhcp snooping在dhcp server发回ACK报文后，生成绑定表，可选择检查以下信息，通过检查这些报文数据达到了强制DHCP上网的目的。——
　　（1）dhcp报文内client hardware address与报文源MAC是否匹配。
　　（2）arp报文senderip和sendermac与绑定表是否匹配。
　　（3）IP报文SIP和SMAC是否与绑定表匹配。
　　（4）检查dhcp续租时client发出的request报文，检查绑定表内续租ip对应的SMAC与报文SMAC是否匹配。

　　Cisco的dhcp snooping可以防止非法dhcp服务器的建立，并且可以根据相关参数生成一个ip-mac-port的一个绑定表，然后可以根据这个表检查所有的arp包是否合法，用来避免arp攻击，同时也可以一般方式私设ip。说白了经过ip-mac-port绑定后在相应客户端上网时一方面可以通过DHCP获得地址信息，另一方面在手工设置时也不能随意添加地址，必须使用ip-mac-port绑定表中的IP地址作为自己的上网地址，这样的策略实际上限制了手工设置IP的地址信息，解决了上文提到的种种安全和管理问题。

　　总之这些技术的实现思路就是通过检查流经端口数据包的信息，分析该数据中是否有明确的DHCP标识，如果没有相应的标识那就可以确定源地址是通过手工设置上网的，通过过滤技术和策略命令可以实现数据包的丢弃，从而阻止了采取手工设置IP地址方式上网客户端的正常联机。