DHCP-Snooping与DAI
简介
DHCP-Snooping(DHCP窥探):
当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
dhcp-snooping的主要作用就是通过配置信任端口,隔绝非信任端口的DHCP-Server;
与交换机DAI配合,防止ARP病毒的传播;
建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp ack包中的IP、mac生成的,二是可以手工指定 。这张表是后续的DAI(dynamic arp inspect)和IP source Guard基础。这两种类似的技术,是通过这张表来判定IP和Mac是否合法,来限制用户连接到网络。
DAI(动态ARP检测):
思科 Dynamic ARP Inspection (DAI),在交换机上提供IP地址和MAC地址的绑定, 并动态建立绑定关系;DAI 以 DHCP Snooping绑定表为基础(后者是前者的基础,没有DHCP Snooping的绑定表也就不能实施DAI),所以二层设备不能实施DAI技术。
作用:
通过拒绝静态ip的ARP请求来防止静态配置的IP地址与DHCP服务器分配的客户端IP冲突;
过滤静态配置的服务器的IP地址,服务器可以不受DAI的影响;