DHCP snooping

DHCP snooping基本功能简介：

DHCP snooping是DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）的一种安全特性，主要具有如下两种功能：

1.记录DHCP客户端MAC地址与IP地址的对应关系：

出于安全性的考虑，网络管理员可能需要记录用户上网时所用的IP地址，确认用户主机MAC地址和从DHCP服务器获取的IP地址的对应关系。

DHCP snooping通过监听DHCP请求报文和信任端口收到的DHCP应答报文，记录DHCP客户端的MAC地址以及获取到的IP地址。管理员可以通过DHCP snooping记录的绑定表项，来查看DHCP客户端获取的IP地址信息。

2.保证客户端从合法的服务器获取IP地址：

如果网络中存在私自假设的DHCP服务器，则DHCP客户端可能获取到错误的IP地址，导致通信异常或存在安全隐患。为保证DHCP客户端能通过合法的DHCP服务器获取IP地址，DHCP snooping功能允许将端口配置为信任端口或非信任端口：

（1）信任端口是与合法的DHCP服务器直接或间接连接的端口，信任端口对接收到的DHCP响应报文正常转发，从而保证DHCP客户端可以获取正确的IP地址；

（2）非信任端口是不与合法的DHCP服务器直接或间接连接的端口，如果从非信任端口接收到DHCP服务器发送的DHCP响应报文，则会将其丢弃，从而防止DHCP客户端获取错误的IP地址。

DHCP snooping支持对Option82选项的添加，转发和管理，Option82选项是一个DHCP报文选项，这个选项用于记录DHCP客户端的位置信息，管理员可以根据这个选项定位DHCP客户端，从而进行一些安全控制，比如限制某个端口或VLAN所能分配的IP地址个数等。根据DHCP报文类型的不同，对Option82选项的处理方式也不同：

1.当设备接收到的DHCP请求报文后，将根据报文中是否包含Option82选项以及用户配置的处理策略及填充格式对报文进行相应处理，并将处理后的报文转发给DHCP服务器；

2.当设备接收到DHCP服务器的响应报文时，如果报文中包含Option82选项，则删除Option82选项，并转发给DHCP客户端；如果报文中不包含Option82选项，则直接转发给DHCP客户端。

 

配置DHCP snooping基本功能：

DHCP snooping基本功能包括使能DHCP snooping功能，配置端口信任状态和DHCP报文限速功能。

配置条件：无

配置DHPC snooping功能：

使能DHCP snooping功能后，会对设备所有端口接收到的DHCP报文进行监控；

1.对接收到的请求报文，会依据报文中的信息生成相应的绑定表项；

2.对从信任端口接收到的应答报文，会更新对应绑定表项的状态及租约时间；

3.对从非信任端口接收到的应答报文，会直接将其丢弃。

进入全局配置模式&#