DHCP SnoopingDHCP的一種安全特性,主要用在網路交換器上。

DHCP snooping的工作原理示意

原理

編輯

作用是封鎖接入網路中的非法的DHCP伺服器。開啟DHCP Snooping功能後,網路中的客戶端僅從管理員指定的DHCP伺服器取得IP位址

由於DHCP報文缺少認證機制,如果網路中存在非法DHCP伺服器,管理員將無法保證客戶端從管理員指定的DHCP伺服器取得合法位址,客戶機有可能從非法DHCP伺服器獲得錯誤的IP位址等組態資訊,導致客戶端無法正常使用網路。

啟用 DHCP Snooping 功能後,必須將交換機上的埠設定為信任(Trust)和非信任(Untrust)狀態,交換機只轉發信任埠的 DHCP OFFER/ACK/NAK報文,丟棄非信任埠的 DHCPOFFER/ACK/NAK 報文,從而達到阻斷非法DHCP伺服器的目的。建議將連接DHCP伺服器的埠設定為信任埠,其他埠設定為非信任埠。

此外,DHCP Snooping還會監聽經過本機的DHCP封包,提取其中的關鍵資訊並生成 DHCP Binding Table 記錄表,一條記錄包括IP、MAC位址、租約時間、埠、VLAN、類型等資訊,結合DAI(Dynamic ARP Inspection)和IPSG(IP Source Guard)可實現ARP防欺騙和IP流量控制功能[1]

參考資料

編輯
  1. ^ Catalyst 6500 Release 12.2SX Software Configuration Guide. [2018-07-31]. (原始內容存檔於2018-01-20).