DHCP-Snooping与DAI

 

简介

 

DHCP-Snooping(DHCP窥探):

 

交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

 

  • dhcp-snooping的主要作用就是通过配置信任端口,隔绝非信任端口的DHCP-Server;

  • 与交换机DAI配合,防止ARP病毒的传播;

  • 建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp ack包中的IP、mac生成的,二是可以手工指定  。这张表是后续的DAI(dynamic arp inspect)和IP source Guard基础。这两种类似的技术,是通过这张表来判定IP和Mac是否合法,来限制用户连接到网络。

 

DAI(动态ARP检测):

 

思科 Dynamic ARP Inspection (DAI),在交换机上提供IP地址和MAC地址的绑定, 并动态建立绑定关系;DAI 以 DHCP Snooping绑定表为基础(后者是前者的基础,没有DHCP Snooping的绑定表也就不能实施DAI),所以二层设备不能实施DAI技术。

 

作用:

  • 通过拒绝静态ip的ARP请求来防止静态配置的IP地址与DHCP服务器分配的客户端IP冲突;

  • 过滤静态配置的服务器的IP地址,服务器可以不受DAI的影响;