解决启用DHCP snooping和DAI后,无法使用固定IP

由于现代企业网络环境比较复杂及用户的使用程度不同，企业网络管理员经常遇到由内部网络产生的两种情况，所带来困扰：
1、一些企业内部员工在未经允许的情况下在终端私接路由器(一些SOHU路由器默认开启DHCP服务)，或者私搭DHCP服务器，这样就可能导致企业内部其他客户端无法获得正确的IP地址。
2、有些员工在上网浏览过程中感染了ARP病毒，那么就会导致ARP病毒在企业内部网络里进行传播，会导致一些客户端无法获得正确的网关地址，无法正常工作。

那么我们的企业网络管理员如何避免以上两种情况呢？我们的企业网络管理员，会在思科交换机上开启两种防范技术：DHCP SNOOPING 和 DAI ，通过以上两种防范技术的结合，就可以使以上两种情况在我们的企业网络内部消失。(2950及以上系列支持DHCP SNOOPING、3550及以上系列支持DAI，注：2950支持DHCP SNOOPING需升级IOS)

但同时也会带来另一个问题，那就是一些服务器需要使用固定IP，那么采用了两种技术后，服务器就无法正常提供服务，那么我们的网络管理员该如何针对此类问题，使用什么方案来解决问题呢？
答案就是我们可以通过以下两种方法来解决此类问题：

1、利用手工ARP访问控制列表(经常看见网上这样说)：
switch(config)#arp access-list test
switch(config-arp-nacl)#permit ip host 192.168.2.2 mac mac host 0003.1fc6.4f50
switch(config)ip arp inspection filter test vlan 2 //后面还可以使用static参数，一般不需要使用，如果使用就无法利用DHCP snooping进行ARP的控制，只能静态绑定。

2、利用源地址绑定技术(本人就是利用此类方法,但很少看见网上有使用这样的方法进行设定)
switch(config)#ip source binding 0003.1fc6.4f50 vlan 2 192.168.2.2 interface Fa1/0/2

通过以上的解决方案，就可以使我们避免此类问题给我们的企业网络带来不稳定的情况。