DHCP Snooping基本原理

DHCP Snooping基本原理

使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping的接口接收用户发来的DHCP报文时，会进行匹配检查，能够有效防范非法用户的攻击。

DHCP Snooping信任功能

DHCP Snooping的信任功能，能够保证客户端从合法的服务器获取IP(Internet Protocol)地址。

如图1所示，网络中如果存在私自架设的DHCP Server仿冒者，则可能导致DHCP客户端获取错误的IP地址和网络配置参数，无法正常通信。DHCP Snooping信任功能可以控制DHCP服务器应答报文的来源，以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息。

DHCP Snooping信任功能将接口分为信任接口和非信任接口:

信任接口正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。另外，设备只会将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。

非信任接口在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后，丢弃该报文。

在二层网络接入设备使能DHCP Snooping场景中，一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口(如图1中的if1接口)，其他接口设置为非信任接口(如图1中的if2接口)，使DHCP客户端的DHCP请求报文仅能从信任接口转发出去，从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。