DHCP Snooping功能是指交换机监测DHCP Client 通过DHCP协议获取IP的过程。它通过设置信任端口和非信任端口,来防止DHCP攻击及私设DHCP Server。从信任端口接收的DHCP报文无须校验即可转发。典型的设置是将信任端口连接DHCP Server或者DHCP Relay代理。非信任端口连接DHCP Client,交换机将转发从非信任端口接收的DHCP请求报文,不转发从非信任端口接收的DHCP回应报文。如果从非信任端口接收的DHCP回应报文,除了发出告警信息外,还可根据设置对该端口执行相应的动作,比如shutdown,下发blackhole。如果启用了DHCP snooping 绑定功能,则交换机将会保存非信任端口下的DHCP Client的绑定信息,每一条绑定信息包含该DHCP Client的MAC地址、IP地址、租期、VLAN号和端口号,这些绑定信息存放于DHCP Snooping 的绑定表中。利用绑定信息,DHCP Snooping可以结合dot1x、arp等模块独立实现用户的接入控制。
DHCP基础配置
1.DHCP自动分配地址
Service dhcp ---开启DHCP服务
Ip dhcp pool 【地址池名】 ---定义一个地址池
network-address 【地址池范围】 【掩码】 ---定义地址池范围
default-router 【网关ip】 ---默认网关
lease 【时间 天/小时/分钟】 ---地址租约时间
dns-server 【dns地址】 ---dns服务器地址