DHCP Snooping

DHCP Snooping是DHCP（Dynamic Host ConfigurationProtocol）的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。

DHCP Snooping有两种功能：信任功能和基本监听功能。

信任功能：

在交换机上配置DHCP Snooping之后，交换机能检测接口进来的DHCPSERVER发送的报文。将连接授权DHCP SERVER的接口配置为信任端口，其他端口配置为非信任端口，可以让交换机只接收授权DHCP SERVER分配的IP地址。

DHCPSnooping信任功能允许将端口分为信任端口和非信任端口：信任端口正常转发接收到的DHCP应答报文。

非信任端口在接收到DHCP服务器响应的DHCP Ack、DHCPNak、DHCPOffer报文后，丢弃该报文。

通过DHCPSnooping，可以避免非授权DHCP SERVER接入网络并为网络中的终端分配IP地址，引起网络访问故障。

基本监听功能：

DHCPSnooping的基本监听功能，能够记录DHCP客户端IP地址与MAC地址等参数的对应关系。开启DHCPSnooping功能后，设备能够通过监听DHCP请求报文和回应报文，生成DHCP Snooping绑定表，绑定表项包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。

像IPSourceGuard功能、DAI功能在工作时都需要用到DHCP Snooping绑定表。

如果一台PC先获取IP，然后再在交换机上配置DHCPSnooping。那么DHCP Snooping就不能保证这台PC获得的IP地址是从授权DHCPSERVER获取的，同时不会形成DHCP Snooping绑定表或者如果PC采用静态配置IP，那它也不会有snooping绑定表项,如果在交换机上配置了IPSG、DAI功能的话，交换机将丢弃这台PC发送的报文。

DHCPSnooping是DHCP的一种安全特性，解决应用DHCP时遇到的各种网络攻击。

通过截获DHCP Client和DHCPServer之间的DHCP报文并进行分析处理，可以过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。该绑定表包括 MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。

DHCP Snooping绑定表记录DHCPClient的IP地址与MAC地址的对应关系，保证合法用户能访问网络，作用相当于在 DHCP Client和DHCP Server之间建立一道防火墙。