前面我们对一部分的dhcp relay配置进行了讲解，大家应该也有了一定的掌握了。那么这里我们主要在介绍一下其中的dhcp relay握手功能以及禁止vlan几口上的安全问题。那么这两方面的配置是如何完成呢的？

◆使能/禁止vlan接口上的dhcp安全特性

当客户端通过dhcp中继从dhcp服务器获取到ip地址时，dhcp中继会记录ip地址与mac地址的绑定关系。用户也可以手工配置用户地址表项，即ip地址与mac地址的静态绑定。

为了防止非法用户静态配置一个ip地址，并访问其他网络，设备支持dhcp中继安全特性。使能vlan接口上的dhcp安全特性将启动vlan接口下用户地址合法性的检查，如果用户配置的ip地址与用户的mac地址的对应关系没有在dhcp中继的用户地址表中（包括dhcp中继动态记录的表项以及手工配置的用户地址表项），则dhcp中继将不允许该用户访问外部网络。

请在vlan接口视图下进行下列配置。 

缺省情况下，vlan接口上的dhcp安全特性为关闭状态。

使能了vlan接口上的dhcp安全特性后，将导致已经申请到ip地址的客户端无法获得访问权限，需要客户端重新申请ip地址，建议管理员在没有用户获得ip地址前进行该配置！

◆开启dhcp relay握手功能

当dhcp客户端通过dhcp中继从dhcp服务器获取到ip地址时，dhcp中继会记录ip地址与mac地址的绑定关系。当交换机上使能了dhcp relay握手功能后，dhcp relay将根据绑定关系中的ip地址和自己的mac地址，定时向dhcp server端发送握手报文（dhcp-request报文）。

如果dhcp服务器响应dhcp-ack报文，则表明这个ip地址已经可以进行分配，dhcp中继会将动态用户地址表中对应的表项老化掉；

如果dhcp服务器响应dhcp-nak报文，则表示该ip地址的租约仍然存在，dhcp中继不会老化该ip地址对应的表项；

如果dhcp服务器没有响应dhcp中继的握手报文，dhcp 中继会继续给这个绑定关系握手，当3次不能收到回应时，认为这个ip地址已经可以进行分配，dhcp中继将动态用户地址表中对应的表项老化掉；

当交换机上禁止了dhcp relay握手功能后，dhcp relay不会定时向dhcp server端发送握手报文（dhcp-request报文），导致用户安全表项不断增加，将占用大量系统资源，请慎重使用！

当dhcp客户端释放该ip地址时，会发送单播dhcp-release报文给dhcp服务器；而dhcp中继不会处理该报文，造成dhcp中继的用户地址项不能被实时刷新。