【交换机】配置DHCP SNOOPING的功能原理是什么？

发布时间：2013-11-15

点击量：7765

DHCP Snooping：意为DHCP 窥探，在一次PC动态获取IP地址的过程中，通过对Client和服务器之间的DHCP交互报文进行窥探，实现对用户的监控，同时DHCP Snooping起到一个DHCP 报文过滤的功能，通过合理的配置实现对非法服务器的过滤，防止用户端获取到非法DHCP服务器提供的地址而无法上网。

下边对DHCP Snooping 内使用到的一些术语及功能进行解释：
1) DHCP 请求报文：DHCP 客户端发往DHCP 服务器的报文。
2) DHCP 应答报文：DHCP 服务器发往DHCP 客户端的报文。
3) DHCP Snooping TRUST 口：由于DHCP 获取IP 的交互报文是使用广播的形式，从而存在着非法的DHCP 服务影响用户正常IP 的获取，更有甚者通过非法的DHCP 服务欺骗窃取用户信息的现象，为了防止非法的DHCP 服务的问题，DHCP Snooping 把端口分为两种类型，TRUST 口UNTRUST 口，设备只转发TRUST 口收到的DHCP 应答报文，而丢弃所有来自UNTRUST 口的DHCP 应答报文，这样我们把合法的DHCP Server 连接的端口设置为TRUST 口，则其他口为UNTRUST 口，就可以实现对非法DHCP Server 的屏蔽。
4) DHCP Snooping 报文过滤：在对个别用户禁用DHCP 报文的情况下，需要评估用户设备发出的任何DHCP 报文，那么我们可以在端口模式下配置DHCP 报文过滤功能，过滤掉该端口收到的所有DHCP 报文。
5) DHCP Snooping 绑定数据库：在DHCP 环境的网络里经常会出现用户随意设置静态IP 地址的问题，用户随意设置的IP 地址不但使网络难以维护，而且会导致一些合法的使用DHCP 获取IP 的用户因为冲突而无法正常使用网络，DHCP Snooping 通过窥探Client 和Server 之间交互的报文，把用户获取到的IP 信息以及用户MAC、VID、PORT、租约时间等信息组成用户记录表项，从而形成DHCP Snooping 的用户数据库，配合ARP 检测功能或ARP CHECK功能的使用，进而达到控制用户合法使用IP 地址的目的。