http://cisco.chinaitlab.com/base/734553.html
1.介紹DHCP Snooping技術是DHCP安全特性,通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息,這些信息是指來自不信任區域的DHCP信息。DHCP Snooping綁定表包含不信任區域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息。
當交換機開啓了DHCP-Snooping後,會對DHCP報文進行偵聽,並可以從接收到的DHCP Request或DHCP Ack報文中提取並記錄IP地址和MAC地址信息。另外,DHCP-Snooping允許將某個物理端口設置爲信任端口或不信任端口。信任端口可以正常接收並轉發DHCP Offer報文,而不信任端口會將接收到的DHCP Offer報文丟棄。這樣,可以完成交換機對假冒DHCP Server的屏蔽作用,確保客戶端從合法的DHCP Server獲取IP地址。
作用:1 1.dhcp-snooping的主要作用就是隔絕非法的dhcp server,通過配置非信任端口。
2.建立和維護一張dhcp-snooping的綁定表,這張表一是通過dhcp ack包中的ip和mac地址生成的,二是可以手工指定。這張表是後續DAI(dynamic arp inspect)和IP Source Guard 基礎。這兩種類似的技術,是通過這張表來判定ip或者mac地址是否合法,來限制用戶連接到網絡的。
2.配置
switch(config)#ip dhcp snooping switch(config)#ip dhcp snooping vlan 10
switch(config-if)#ip dhcp snooping limit rate 10 /*dhcp包的轉發速率,超過就接口就shutdown,默認不限制
switch(config-if)#ip dhcp snooping trust /*這樣這個端口就變成了信任端口,信任端口可以正常接收並轉發DHCP Offer報文,不記錄ip和mac地址的綁定,默認是非信任端口"
switch#ip dhcp snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5 interface gi1/0/10
/*這樣可以靜態ip和mac一個綁定;
switch(config)#ip dhcp snooping database tftp:// 10.1.1.1/dhcp_table
/*因爲掉電後,這張綁定表就消失了,所以要選擇一個保存的地方,ftp,tftp,flash皆可。本例中的dhcp_table是文件名,而不是文件夾,同時文件名要手工創建一個。