dhcp snooping是一種dhcp安全特性,能夠過濾來自網絡中主機或其他設備的非信任dhcp報文,通過建立並維護dhcp binding表.
DHCP snooping 建立DHCP binding表,其中包括客戶端IP地址、MAC地址、端口號、VLAN編號、租用和綁定類型等信息。交換機支持在每個VLAN基礎上啓用DHCP snooping特性。通過這種特性,交換機能夠限制終端用戶,也就是非信任端口只能夠發送dhcp請求,並且將丟棄來自用戶端口的所有其他dhcp報文,比如dhcp offer.dhcp的信任端口是連接到已知的dhcp服務器或與分佈層交換機之間的上行鏈路端口.信任端口能夠發送和接受所有的dhcp報文.交換機只允許受信任的dhcp服務器能夠通過dhcp響應來分發dhcp地址.這種方法能夠避免用戶通過建立自己的dhcp服務器來分發非授權的地址.
dhcp snooping特性通常與接口跟蹤特性結合使用,交換機將在dhcp報文中插入選項82,option 82是中繼代理信息選項.sh ip dhcp snooping 會看到 Insertion of option 82 is enabled.
配置dhcp snooping的主要作用:1.可以通過dhcp snooping的limit rate來防止dhcp Dos***;2.能夠避免配置不當或因用戶連接問題所導致的惡意dhcp服務器.
——————————————————————————————————————————
dhcp snooping 技術主要應用在進一步部署IPSG和DAI技術上.
IPSG,ip source guard,是一種第2層接口特性,IPSG能夠提供檢測機制來確保單個接口所接受到的數據包能夠被各個接口所接受.如果檢查通過,就將許可數據包,否則就會發生違背策略活動.在同一網絡中,如果別人佔用了你的IP地址,就會被dhcp snooping binding表檢查不通過,數據流傳輸就會被終止.
IPSG作用:能夠確保2層網絡中終端設備的IP地址不被劫持,而且還能確保非授權設備不能通過自己指定IP地址的方式來訪問網絡或導致網絡崩潰及癱瘓,有效的防止了內部網絡亂改IP的現象,也有效的在第2層防止IP地址的欺騙***.