DHCP Snooping

 DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。

   当交换机中开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP ACK报文中提取并记录IP地址和MAC地址信息。另外DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文。而不信任端口会将接收到的DHCP Offer报文丢弃,这样就可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

  

作用:

1、DHCP Snooping的主要作用就是隔绝非法的DHCP Server;

2、与交换机DAI的配合,防止ARP病毒的传播;

3、建立和维护一张DHCP-Snooping的绑定表,这张表一是通过DHCP ACK包中的IP和MAC地址生成的,二是可以手工指定,这张表是后续DAI(dynamic arp inspcct)和IP Source Guard的基础,这两种类似的技术,是通过这张表来判定它的IP或者MAC地址是否合法而来限制用户连接到网络的。

以下是我做的一个实验配置:

实验目的:拒绝DHCP Client获取到非法DHCP server所分配的地址。

 

 

 

PC1 DHCP server配置:

分配地址范围:192.168.10.3-192.168.10.50

分配默认网关:192.168.10.1

 

PC2 DHCP server配置:

分配地址范围:192.168.20.3-192.168.20.50

分配默认网关:192.168.20.1 

 

验证:当我们把PC机上的DHCP服务器配置好后,用客户机PC3获取地址,此时PC3可以任意的获取其中一台DHCP服务器所提供的地址,不管我们关掉哪台DHCP服务器,它都可以从另一台服务器获取到地址,这就未起到我们此次实验的目的。为达到目的我们还需要在交换机上进行设置,如下:

 

Switch配置:

Switch#configure terminal

Switch(config)#server dhcp

Switch(config)#ip dhcp snooping

Switch(config)#interface fastethernet 0/2

Switch(config-if)#ip dhcp snooping trust

Switch(config-if)#end

Switch#

 

验证:此时当我们在交换机上开启了DHCP Snooping时,PC3只能获取到PC1的DHCP server所分配到的地址。因为我们将F0/2设置为信任口,而F0/3为对它进行配置,因为它默认为非信任端口。而交换机是接收和转发信任端口的DHCP Offer报文,丢弃非信任端口的DHCP Offer报文,所以这样就起到了对合法DHCP server的保护作用了。