DHCP Snooping是DHCP(Dynamic Host ConfigurationProtocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCP Snooping有两种功能:信任功能和基本监听功能。
信任功能:
在交换机上配置DHCP Snooping之后,交换机能检测接口进来的DHCPSERVER发送的报文。将连接授权DHCP SERVER的接口配置为信任端口,其他端口配置为非信任端口,可以让交换机只接收授权DHCP SERVER分配的IP地址。
DHCPSnooping信任功能允许将端口分为信任端口和非信任端口:信任端口正常转发接收到的DHCP应答报文。
非信任端口在接收到DHCP服务器响应的DHCP Ack、DHCPNak、DHCPOffer报文后,丢弃该报文。
通过DHCPSnooping,可以避免非授权DHCP SERVER接入网络并为网络中的终端分配IP地址,引起网络访问故障。
基本监听功能:
DHCPSnooping的基本监听功能,能够记录DHCP客户端IP地址与MAC地址等参数的对应关系。开启DHCPSnooping功能后,设备能够通过监听DHCP请求报文和回应报文,生成DHCP Snooping绑定表,绑定表项包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。
像IPSourceGuard功能、DAI功能在工作时都需要用到DHCP Snooping绑定表。
如果一台PC先获取IP,然后再在交换机上配置DHCPSnooping。那么DHCP Snooping就不能保证这台PC获得的IP地址是从授权DHCPSERVER获取的,同时不会形成DHCP Snooping绑定表或者如果PC采用静态配置IP,那它也不会有snooping绑定表项,如果在交换机上配置了IPSG、DAI功能的话,交换机将丢弃这台PC发送的报文。
DHCPSnooping是DHCP的一种安全特性,解决应用DHCP时遇到的各种网络攻击。
通过截获DHCP Client和DHCPServer之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。该绑定表包括 MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。
DHCP Snooping绑定表记录DHCPClient的IP地址与MAC地址的对应关系,保证合法用户能访问网络,作用相当于在 DHCP Client和DHCP Server之间建立一道防火墙。