DHCP Snooping基础及其工作原理分析

发布时间：2021-12-30 09:40 所属栏目：30 来源：互联网

导读：你是否遇到过这样的问题，电脑插了网线，也能动态获取IP地址，可就是上不了网别着急，试试我们的扪心自问法：已经获取的IP地址是否真实可用？是由合法DHCP服务器分配的吗？如果不是的话，那你可能就已掉入非法DHCP服务器的陷阱。要如何避免这类问题的发生呢

你是否遇到过这样的问题，“电脑插了网线，也能动态获取IP地址，可就是上不了网” 别着急，试试我们的扪心自问法：已经获取的IP地址是否真实可用？是由合法DHCP服务器分配的吗？如果不是的话，那你可能就已掉入非法DHCP服务器的陷阱。要如何避免这类问题的发生呢？接下来，本文将为您介绍一个新的概念：DHCP Snooping。有了这个神器，我们就可以轻松躲避非法IP地址。

DHCP Snooping是什么？
DHCP Snooping是 DHCP 的一种安全特性，常用于二层网络。启用了该功能的交换机，可以屏蔽接入网络中的非法的DHCP服务器，也就是说，网络中的客户端只有从管理员指定的DHCP服务器获取 IP 地址。DHCP Snooping的主要工作涵盖一下几个方面：

验证从非信任途径接收的DHCP报文，并丢弃不符合要求的报文

生成并维护DHCP Binding Table 记录表

根据DHCP Binding Table 记录表中的信息来验证非信任主机发来的DHCP报文

DHCP Snooping是怎样工作的？
前文提到，DHCP Snooping是 DHCP 的一种安全特性，因此要了解DHCP Snooping的工作原理，首先得认识DHCP（动态主机配置协议）。支持DHCP的网络设备需要完成以下四个步骤，才会从DHCP服务器获取到IP地址。

如何开启DHCP snooping？
如果接入交换机上连接了有线终端，那就需要开启DHCP Snooping功能。在你想要保护的VLAN上启用DHCP Snooping之前，需要先设置信任端口，这些端口允许来自合法DHCP服务器数据包的流通。在CLI命令行界面和Web界面都可以完成该配置。更多配置步骤可参考《飞速(FS)3900交换机DHCP Snooping配置指南》

结束语
虽说DHCP为IP地址的获取提供了便捷，但也同时埋下了隐患。由于 DHCP 报文缺少认证机制，客户机有可能从非法 DHCP 服务器获得错误的 IP 地址等配置信息，导致客户端无法正常使用网络，也就有了开头出现的问题。本文提供的解决办法是DHCP Snooping。它既可以拒绝接受来自非法DHCP服务器的无效IP地址等配置信息，也可以防止用户恶意索取IP地址，造成IP地址池的枯竭。

（编辑：ASP站长网）