DHCP Snooping的作用是什么

DHCP Snooping简介

DHCP Snooping是DHCP的一种安全特性。

DHCP Snooping设备只有位于DHCP客户端与DHCP服务器之间，或DHCP客户端与DHCP中继之间时，DHCP Snooping功能配置后才能正常工作；设备位于DHCP服务器与DHCP中继之间时，DHCP Snooping功能配置后不能正常工作。

1.1.1  DHCP Snooping作用

1. 保证客户端从合法的服务器获取IP地址

网络中如果存在私自架设的非法DHCP服务器，则可能导致DHCP客户端获取到错误的IP地址和网络配置参数，从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口：

·     信任端口正常转发接收到的DHCP报文。

·     不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文。

在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口，其他端口设置为不信任端口，从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。

2. 记录DHCP客户端IP地址与MAC地址的对应关系

DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文，记录DHCP Snooping表项，其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现：

·     ARP快速应答：根据DHCP Snooping表项来判断是否进行ARP快速应答，从而减少ARP广播报文。ARP快速应答的详细介绍请参见“三层技术-IP业务配置指导”中的“ARP快速应答”。

·     ARP Detection：根据DHCP Snooping表项来判断发送ARP报文的用户是否合法，从而防止非法用户的ARP攻击。ARP Detection的详细介绍请参见“安全配置指导”中的“ARP攻击防御”。

·     IP Source Guard：通过动态获取DHCP Snooping表项对端口转发的报文进行过滤，防止非法报文通过该端口。IP Source Guard的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

·     VLAN映射：发送给用户的报文通过查找指定VLAN对应的DHCP Snooping表项中的DHCP客户端IP地址、MAC地址和原始VLAN的信息，将报文的指定VLAN修改为原始VLAN。VLAN映射的详细介绍请参见“二层技术-以太网交换配置指导”中的“VLAN映射”