【交换机】配置DHCP SNOOPING的场景和功能原理是什么？

发布时间：2013-11-16

点击量：38427

应用场景：
DHCP Snooping：当你的网络中存在DHCP 服务器欺骗的时候就可以考虑采用这个功能，比如网络中有个别终端用的是window 2003，或者2008系统默认开启了DHCP分配IP的服务，或者是一些接入层的端口连接有TPLINK，DLINK这样的无线路由器，开启了DHCP分配IP的服务。我们推荐在用户接入层交换机上面部署该功能，越靠近PC端口控制的越准确，而每个交换机的端口推荐只连接一台PC，否则如果交换机某端口下串接一个HUB，在HUB上连接了若干PC的话，那么如果凑巧该HUB下发生DHCP欺骗，由于欺骗报文都在HUB端口间直接转发了，没有受到接入层交换机的DHCP snooping功能的控制，这样的欺骗就无法防止了。

DHCP Snooping通常配合IP Source Guard功能实现防止用户私设静态IP，防止用户伪造IP进行内网扫描攻击的安全功能，配合ARP-Check还能实现防范ARP欺骗的安全功能。

功能原理：

DHCP Snooping：意为DHCP 窥探，在一次PC动态获取IP地址的过程中，通过对Client和服务器之间的DHCP交互报文进行窥探，实现对用户的监控，同时DHCP Snooping起到一个DHCP 报文过滤的功能，通过合理的配置实现对非法服务器的过滤，防止用户端获取到非法DHCP服务器提供的地址而无法上网。

下边对DHCP Snooping 内使用到的一些术语及功能进行解释：
1) DHCP 请求报文：DHCP 客户端发往DHCP 服务器的报文。
2) DHCP 应答报文：DHCP 服务器发往DHCP 客户端的报文。
3) DHCP Snooping TRUST 口：由于DHCP 获取IP 的交互报文是使用广播的形式，从而存在着非法的DHCP 服务影响用户正常IP 的获取，更有甚者通过非法的DHCP 服务欺骗窃取用户信息的现象，为了防止非法的DHCP 服务的问题，DHCP Snooping 把端口分为两种类型，TRUST 口UNTRUST 口，设备只转发TRUST 口收到的DHCP 应答报文，而丢弃所有来自UNTRUST 口的DHCP 应答报文，这样我们把合法的DHCP Server 连接的端口设置为TRUST 口，则其他口为UNTRUST 口，就可以实现对非法DHCP Server 的屏蔽。
4) DHCP Snooping 报文过滤：在对个别用户禁用DHCP 报文的情况下，需要评估用户设备发出的任何DHCP 报文，那么我们可以在端口模式下配置DHCP 报文过滤功能，过滤掉该端口收到的所有DHCP 报文。
5) DHCP Snooping 绑定数据库：在DHCP 环境的网络里经常会出现用户随意设置静态IP 地址的问题，用户随意设置的IP 地址不但使网络难以维护，而且会导致一些合法的使用DHCP 获取IP 的用户因为冲突而无法正常使用网络，DHCP Snooping 通过窥探Client 和Server 之间交互的报文，把用户获取到的IP 信息以及用户MAC、VID、PORT、租约时间等信息组成用户记录表项，从而形成DHCP Snooping 的用户数据库，配合ARP 检测功能或ARP CHECK功能的使用，进而达到控制用户合法使用IP 地址的目的。