第三層交換機是目前最主流的交換機之一，特別是適用于中小型企業中，特別是目前對于第三層交換機的DHCP Relay技術的使用。DHCP Server可以自動為用戶設置IP地址、掩碼、網關、DNS、WINS等網絡參數，解決客戶機位置變化（如便攜機或無線網絡）和客戶機數量超過可分配的IP地址的情況，簡化用戶設置，提高管理效率。但在DHCP管理使用上，存在著DHCP Server冒充、DHCP Server的Dos攻擊、用戶隨意指定IP地址造成網絡地址沖突等問題。

1．第三層交換機的DHCP Relay技術

早期的DHCP協議只適用于DHCP Client和Server處于同一個子網內的情況，不可以跨網段工作。因此，為實現動態主機配置，需要為每一個子網設置一個DHCP Server，這顯然是不經濟的。DHCP Relay的引入解決了這一難題：局域網內的DHCP Client可以通過DHCP Relay與其他子網的DHCP Server通信，最終取得合法的IP地址。這樣，多個網絡上的DHCP Client可以使用同一個DHCP Server，既節省了成本，又便于進行集中管理。DHCP Relay配置包括：

（1）配置IP 地址
為了提高可靠性，可以在一個網段設置主、備DHCP Server。主、備DHCP Server構成了一個DHCP Server組。可以通過下面的命令指定主、備DHCP Server的IP地址。在系統視圖下進行下列配置:dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]。

（2）配置VLAN接口對應的組
在VLAN接口視圖下進行下列配置：dhcp-server groupNo。

（3）使能/禁止VLAN 接口上的DHCP安全特性
使能VLAN接口上的DHCP安全特性將啟動VLAN接口下用戶地址合法性的檢查，這樣可以杜絕用戶私自配置IP地址擾亂網絡秩序，同DHCP Server配合，快速、準確定位病毒或干擾源。在VLAN接口視圖下進行下列配置：address-check enable。

（4）配置用戶地址表項
為了使配置了DHCP Relay的VLAN內的合法固定IP地址用戶能夠通過DHCP安全特性的地址合法性檢查，需要使用此命令為固定IP地址用戶添加一條IP地址和MAC地址對應關系的靜態地址表項。如果有另外一個非法用戶配置了一個靜態IP地址，該靜態IP地址與合法用戶的固定IP地址發生沖突，執行DHCP Relay功能的第三層交換機，可以識別出非法用戶，并拒絕非法用戶的IP與MAC地址的綁定請求。在系統視圖下進行下列配置：dhcp-security static ip_address mac_address。

2．其它地址管理技術

在第三層交換機上，為了使用戶能通過合法的DHCP服務器獲取IP地址，DHCP-Snooping安全機制允許將端口設置為信任端口與不信任端口。其中信任端口連接DHCP服務器或其他第三層交換機的端口；不信任端口連接用戶或網絡。不信任端口將接收到的DHCP服務器響應的DHCPACK和DHCPOFF報文丟棄；而信任端口將此DHCP報文正常轉發，從而保證了用戶獲取正確的IP地址。

（1）開啟/關閉第三層交換機DHCP-Snooping 功能
缺省情況下，第三層交換機的DHCP-Snooping功能處于關閉狀態。在系統視圖下進行下列配置，啟用DHCP-Snooping功能：dhcp-snooping。

（2）配置端口為信任端口
缺省情況下，第三層交換機的端口均為不信任端口。在以太網端口視圖下進行下列配置：dhcp-snooping trust。

(3)配置VLAN接口通過DHCP方式獲取IP地址，在VLAN 接口視圖下進行下列配置:ip address dhcp-alloc。訪問管理配置——配置端口/IP地址/MAC地址的綁定。可以通過下面的命令將端口、IP地址和MAC地址綁定在一起，支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC綁定方式，防止私自移動機器設備或濫用MAC地址攻擊、IP地址盜用攻擊等，但這種方法工作量巨大。