DHCP snooping

DHCP Snooping是DHCP的一种安全特性，主要用在網路交換器上。

DHCP snooping的工作原理示意

原理

作用是屏蔽接入网络中的非法的DHCP服务器。开启DHCP Snooping功能后，网络中的客户端仅从管理员指定的DHCP服务器获取IP地址。

由于DHCP报文缺少认证机制，如果网络中存在非法DHCP服务器，管理员将无法保证客户端从管理员指定的DHCP服务器获取合法地址，客户机有可能从非法DHCP服务器获得错误的IP地址等配置信息，导致客户端无法正常使用网络。

启用 DHCP Snooping 功能后，必须将交换机上的端口设置为信任（Trust）和非信任（Untrust）状态，交换机只转发信任端口的 DHCP OFFER/ACK/NAK报文，丢弃非信任端口的 DHCPOFFER/ACK/NAK 报文，从而达到阻断非法DHCP服务器的目的。建议将连接DHCP服务器的端口设置为信任端口，其他端口设置为非信任端口。

此外，DHCP Snooping还会监听经过本机的DHCP数据包，提取其中的关键信息并生成 DHCP Binding Table 记录表，一条记录包括IP、MAC地址、租约时间、端口、VLAN、类型等信息，结合DAI（Dynamic ARP Inspection）和IPSG（IP Source Guard）可实现ARP防欺骗和IP流量控制功能^[1]。

參考資料

1. Catalyst 6500 Release 12.2SX Software Configuration Guide. [2018-07-31]. （原始内容存档于2018-01-20）.