DHCP Snooping

 

DHCP Snooping

 DHCP Snooping技術是DHCP安全特性，通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區域的DHCP信息。DHCP Snooping綁定表包含不信任區域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息。

   當交換機中開啓了DHCP-Snooping後，會對DHCP報文進行偵聽，並可以從接收到的DHCP Request或DHCP ACK報文中提取並記錄IP地址和MAC地址信息。另外DHCP-Snooping允許將某個物理端口設置爲信任端口或不信任端口。信任端口可以正常接收並轉發DHCP Offer報文。而不信任端口會將接收到的DHCP Offer報文丟棄，這樣就可以完成交換機對假冒DHCP Server的屏蔽作用，確保客戶端從合法的DHCP Server獲取IP地址。

  

作用：

1、DHCP Snooping的主要作用就是隔絕非法的DHCP Server；

2、與交換機DAI的配合，防止ARP病毒的傳播；

3、建立和維護一張DHCP-Snooping的綁定表，這張表一是通過DHCP ACK包中的IP和MAC地址生成的，二是可以手工指定，這張表是後續DAI（dynamic arp inspcct）和IP Source Guard的基礎，這兩種類似的技術，是通過這張表來判定它的IP或者MAC地址是否合法而來限制用戶連接到網絡的。

以下是我做的一個實驗配置：

實驗目的：拒絕DHCP Client獲取到非法DHCP server所分配的地址。

 

 

 

PC1 DHCP server配置：

分配地址範圍：192.168.10.3-192.168.10.50

分配默認網關：192.168.10.1

 

PC2 DHCP server配置：

分配地址範圍：192.168.20.3-192.168.20.50

分配默認網關：192.168.20.1 

 

驗證：當我們把PC機上的DHCP服務器配置好後，用客戶機PC3獲取地址，此時PC3可以任意的獲取其中一臺DHCP服務器所提供的地址，不管我們關掉哪臺DHCP服務器，它都可以從另一臺服務器獲取到地址，這就未起到我們此次實驗的目的。爲達到目的我們還需要在交換機上進行設置，如下：

 

Switch配置：

Switch#configure terminal

Switch(config)#server dhcp

Switch(config)#ip dhcp snooping

Switch(config)#interface fastethernet 0/2

Switch(config-if)#ip dhcp snooping trust

Switch(config-if)#end

Switch#

 

驗證：此時當我們在交換機上開啓了DHCP Snooping時，PC3只能獲取到PC1的DHCP server所分配到的地址。因爲我們將F0/2設置爲信任口，而F0/3爲對它進行配置，因爲它默認爲非信任端口。而交換機是接收和轉發信任端口的DHCP Offer報文，丟棄非信任端口的DHCP Offer報文，所以這樣就起到了對合法DHCP server的保護作用了。