DHCP Snooping

 

DHCP Snooping

 DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。

   当交换机中开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP ACK报文中提取并记录IP地址和MAC地址信息。另外DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文。而不信任端口会将接收到的DHCP Offer报文丢弃，这样就可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

  

作用：

1、DHCP Snooping的主要作用就是隔绝非法的DHCP Server；

2、与交换机DAI的配合，防止ARP病毒的传播；

3、建立和维护一张DHCP-Snooping的绑定表，这张表一是通过DHCP ACK包中的IP和MAC地址生成的，二是可以手工指定，这张表是后续DAI（dynamic arp inspcct）和IP Source Guard的基础，这两种类似的技术，是通过这张表来判定它的IP或者MAC地址是否合法而来限制用户连接到网络的。

以下是我做的一个实验配置：

实验目的：拒绝DHCP Client获取到非法DHCP server所分配的地址。

 

 

 

PC1 DHCP server配置：

分配地址范围：192.168.10.3-192.168.10.50

分配默认网关：192.168.10.1

 

PC2 DHCP server配置：

分配地址范围：192.168.20.3-192.168.20.50

分配默认网关：192.168.20.1 

 

验证：当我们把PC机上的DHCP服务器配置好后，用客户机PC3获取地址，此时PC3可以任意的获取其中一台DHCP服务器所提供的地址，不管我们关掉哪台DHCP服务器，它都可以从另一台服务器获取到地址，这就未起到我们此次实验的目的。为达到目的我们还需要在交换机上进行设置，如下：

 

Switch配置：

Switch#configure terminal

Switch(config)#server dhcp

Switch(config)#ip dhcp snooping

Switch(config)#interface fastethernet 0/2

Switch(config-if)#ip dhcp snooping trust

Switch(config-if)#end

Switch#

 

验证：此时当我们在交换机上开启了DHCP Snooping时，PC3只能获取到PC1的DHCP server所分配到的地址。因为我们将F0/2设置为信任口，而F0/3为对它进行配置，因为它默认为非信任端口。而交换机是接收和转发信任端口的DHCP Offer报文，丢弃非信任端口的DHCP Offer报文，所以这样就起到了对合法DHCP server的保护作用了。