DHCP snooping

DHCP Snooping是DHCP的一種安全特性，主要用在網路交換器上。

DHCP snooping的工作原理示意

原理

作用是封鎖接入網路中的非法的DHCP伺服器。開啟DHCP Snooping功能後，網路中的客戶端僅從管理員指定的DHCP伺服器取得IP位址。

由於DHCP報文缺少認證機制，如果網路中存在非法DHCP伺服器，管理員將無法保證客戶端從管理員指定的DHCP伺服器取得合法位址，客戶機有可能從非法DHCP伺服器獲得錯誤的IP位址等組態資訊，導致客戶端無法正常使用網路。

啟用 DHCP Snooping 功能後，必須將交換機上的埠設定為信任（Trust）和非信任（Untrust）狀態，交換機只轉發信任埠的 DHCP OFFER/ACK/NAK報文，丟棄非信任埠的 DHCPOFFER/ACK/NAK 報文，從而達到阻斷非法DHCP伺服器的目的。建議將連接DHCP伺服器的埠設定為信任埠，其他埠設定為非信任埠。

此外，DHCP Snooping還會監聽經過本機的DHCP封包，提取其中的關鍵資訊並生成 DHCP Binding Table 記錄表，一條記錄包括IP、MAC位址、租約時間、埠、VLAN、類型等資訊，結合DAI（Dynamic ARP Inspection）和IPSG（IP Source Guard）可實現ARP防欺騙和IP流量控制功能^[1]。