DHCP Snooping時DHCP的一種安全特性，用于保證DHCP客戶端從合法的DHCP服務器獲取IP地址，并記錄DHCP客戶端IP地址與MAC地址等參數的對應關系，防止網絡上針對DHCP攻擊

通過配置信任端口和非信任端口來實現安全防護

信任接口

正常接收DHCP服務器響應的DHCP ACK、DHCP NAK和DHCP Offer報文

設備只會將DHCP客戶端的DHCP請求報文通過信任接口發送給合法的DHCP服務器。

非信任接口

在接收到DHCP服務器響應的DHCP ACK、DHCP NAK和DHCP Offer報文后，丟棄該報文

DHCP Snooping綁定表

設備根據收到的DHCP ACK報文，建立DHCP Snooping綁定表

此表包含客戶端的IP地址、客戶端的MAC地址、客戶端的Vlan、客戶端所在接口等信息

DHCP Snooping綁定表可以根據DHCP租期自行老化，也可以根據DHCP Release報文刪除對應表項

注意事項

在DHCP中繼使能DHCP Snooping場景下，DHCP Relay設備不需要設置信任端口

因為DHCP Relay設備是以單播的形式向DHCP服務器請求IP地址的，所以Relay設備收到的ACK報文都是合法的

配置DHCP Snooping

正常配置DHCP服務器1，通過全局地址池的方式分配地址

PC1屬于Vlan1（即LSW1上不需要做Vlan相關配置）

必選配置

開啟DHCP（開啟DHCP后才可以配置DHCP Snooping）

dhcp enable

開啟IPv4的DHCP Snooping

dhcp snooping enable ipv4??

接口開啟DHCP Snooping并配置信任端口

interface Ethernet0/0/1?? 與服務器相連端口

?dhcp snooping enable?? 開啟DHCP Snooping

?dhcp snooping trusted?? 配置端口為信任端口

interface Ethernet0/0/2??? 與客戶端相連端口

?dhcp snooping enable

可選配置

配置當用戶下線后刪除本地綁定表

dhcp snooping user-offline remove mac-address?

配置ARP與DHCP Snooping聯動

arp dhcp-snooping-detect enable?

在Vlan1內配置DHCP Request檢查（防止攻擊者仿冒用戶的DHCP Request報文）

dhcp snooping check dhcp-request enable vlan 1?

查看DHCP Snooping綁定表

總結

以上是生活随笔為你收集整理的DHCP Snooping讲解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。