DHCP Snooping技术概况

1、交换机DHCP SNOOPING功能一种DHCP安全特性，通过监听DHCP流量，来建立和维护一个DHCP Snooping Binding Database/Table,并且过滤untrusted DHCP消息。

连接在交换机上的所有PC都配置为动态获取IP地址，PC作为DHCP客户端通过广播发送DHCP请求，DHCP服务器将含有IP地址信息的DHCP 回复通过单播的方式发送给DHCP客户端，交换机从DHCP报文中提取关键信息（包括IP地址，MAC地址，vlan号，端口号，租期等），并把这些信息保存到 DHCP 监听绑定表中。

DHCP Snooping就像是运行在untrusted hosts与DHCP SERVER之间的一个firewall一样。

使用DHCP Snooping可以将连接到end user的untrusted interfaces与连接到DHCP SERVER或其它switch的trusted interfaces区别开来。

DHCP Snooping的一个主要作用是确保DHCP Server的合法性，对不合法的DHCP Server进行隔离。

2、交换机IPSG/DAI功能IP源防护(IP Source Guard，简称IPSG）：在华三、华为、锐捷等厂家的交换机内部有一个IP源绑定表（IP Source Binding Table）作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据，其余数据包将被交换机做丢弃处理：✓所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系✓所接收到的是DHCP数据包IP源绑定表可以由用户在交换机上静态添加，或者由交换机从DHCP监听绑定表（DHCP Snooping Binding Table）自动学习获得。

静态配置是一种简单而固定的方式，但灵活性很差，因此建议用户最好结合DHCP Snooping技术使用IP Source Guard，由DHCP监听绑定表生成IP源绑定表。

DHCP snooping一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

一、DHCP relay首先分析一下DHCP relay是什么协议。

在使用DHCP协议，客户机可以向DHCP服务器动态的请求配置信息，包括分配的IP地址，子网掩码，缺省网关等信息。

由于DHCP请求报文以广播方式进行的，这种类型报文的转发局限于一个网段内，不可以跨网段工作，因此，为进行动态主机配置需要在所有网段上都设置一个DHCP服务器，这显然是不经济的。

DHCP 中继的引入解决了这一问题，它在处于不同网段间的DHCP客户机和服务器之间承担中继服务，将DHCP协议报文跨网段中继到目的DHCP服务器，于是许多网络上的DHCP客户机可以共同使用一个DHCP服务器。

DHCP协议是以客户/服务器模式工作的，当DHCP客户启动时，发送配置请求报文，DHCP 中继收到该报文并适当处理后发送给指定的位于其它网络上的DHCP服务器。

服务器根据客户提供的必要信息，再次通过DHCP中继发送配置信息给客户机，完成对主机的动态配置。

DHCP RELAY功能示意图如下所示：DHCP RELAY实现的主要功能为：1、配置IP辅助地址用户通过命令行界面，在接口配置模式下，为接口配置IP辅助地址，即指明DHCP SERVER 的IP地址。

在接口控制块中维护辅助地址信息，供DHCP中继时使用。

各接口可以配置多个IP辅助地址（每个接口可配置的的IP辅助地址最大个数为20，可以根据具体产品需要调整该值），IP辅助地址将被保存在接口控制块中。

2、处理DHCP中继报文DHCP中继代理不是对所有收到的DHCP报文都作中继处理，在中继前需要识别需要处理的DHCP报文。

需要强调的是在服务器端如回应报文发送给DHCP中继，则回应报文目的端口设为67。

DHCP中继模块通过Socket收发DHCP中继报文。

从各接口接收的DHCP协议报文，都是由Socket接收。

对DHCP报文识别后，交由中继模块处理。

通常DHCP请求报文的源地址是0，DHCP中继代理必须可以接收IP源地址为0的报文。

DHCP Snooping功能与实例详解一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP 服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR （也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

dhcp snooping工作原理DHCP Snooping工作原理一、引言DHCP（动态主机配置协议）是一种常用的网络协议，它用于为网络设备分配IP地址、子网掩码、默认网关等配置信息。

然而，由于DHCP是基于广播的协议，存在一些安全风险，比如DHCP服务器被伪造、DHCP报文被篡改等问题。

为了解决这些安全问题，网络管理员可以使用DHCP Snooping技术。

二、DHCP Snooping的定义DHCP Snooping是一种网络安全技术，它通过监听和验证网络中的DHCP报文，防止未经授权的DHCP服务器提供IP地址配置，以及防止未经授权的客户端请求IP地址。

它基于交换机的硬件特性实现，并且可以防止恶意攻击和网络故障。

三、DHCP Snooping的工作原理1. DHCP Snooping开启网络管理员需要在交换机上启用DHCP Snooping功能。

一般情况下，DHCP Snooping默认是关闭的。

启用DHCP Snooping后，交换机将对DHCP报文进行监听和验证。

2. DHCP Snooping数据库交换机会建立一个DHCP Snooping数据库，用于存储已经授权的DHCP服务器的信息，包括MAC地址、IP地址、端口等信息。

这个数据库可以手动配置，也可以通过动态学习的方式自动更新。

3. DHCP报文的验证当交换机收到DHCP报文时，它会首先验证该报文的合法性。

交换机会检查报文中的源MAC地址、源IP地址、接收端口等信息，并与DHCP Snooping数据库中的信息进行比对。

如果验证通过，交换机会将该报文转发给目标设备；如果验证不通过，交换机会丢弃该报文。

4. DHCP Snooping绑定表交换机还会维护一个DHCP Snooping绑定表，用于记录每个客户端设备的MAC地址、IP地址、VLAN、端口等信息。

当交换机收到一个DHCP报文时，它会根据报文中的源MAC地址查找绑定表，如果找到对应的绑定信息，交换机会更新该绑定信息；如果没有找到，则会创建一个新的绑定信息。

dhcp防御的原理和方法DHCP（Dynamic Host Configuration Protocol）是一种网络协议，用于为网络中的设备分配IP地址、子网掩码、网关等网络配置信息。

然而，由于DHCP协议的工作方式，可能会导致网络安全问题。

为了防御这些安全威胁，我们需要了解DHCP防御的原理和方法。

DHCP防御的原理主要是通过限制和监控DHCP服务器的功能和使用，以减少潜在的安全风险。

下面将介绍几种常见的DHCP防御方法。

1. DHCP Snooping（DHCP监听）DHCP Snooping是一种基于交换机的DHCP防御技术。

它通过在交换机上设置一个可信任的DHCP服务器列表，对从未授权的DHCP服务器发送的DHCP报文进行过滤和拦截。

只有在可信任的DHCP服务器列表中的服务器才能够向客户端提供IP地址等配置信息，从而防止恶意的DHCP服务器攻击。

2. IP-MAC Binding（IP-MAC绑定）IP-MAC Binding是一种将IP地址和MAC地址绑定在一起的技术，可以有效防止IP地址冲突和IP地址欺骗攻击。

通过在DHCP服务器上配置IP-MAC绑定规则，只有符合规则的MAC地址才能够获得指定的IP地址，其他设备无法获取该IP地址。

3. DHCP Option Filtering（DHCP选项过滤）DHCP Option Filtering是一种通过过滤和限制DHCP选项来增强DHCP安全性的方法。

DHCP选项是在DHCP报文中用于传递配置信息的字段，通过过滤和限制某些敏感的DHCP选项，可以防止恶意DHCP服务器向客户端发送恶意配置信息，从而保护网络安全。

4. DHCP Rate Limiting（DHCP速率限制）DHCP Rate Limiting是一种通过限制DHCP请求的速率来防止DHCP服务器被过度利用的方法。

通过设置DHCP服务器的速率限制策略，可以限制每个客户端请求IP地址的速率，防止DHCP服务器被恶意用户或恶意程序耗尽资源。

第12章DHCP-SNOOPING配置本章主要介绍DHCP Snooping功能的使用和配置方法。

本章主要内容：●DHCP Snooping功能简介●DHCP Snooping基本指令描述●DHCP Snooping配置示例●DHCP Snooping监控和调试12.1DHCP Snooping功能简介DHCP Snooping是DHCP的一种安全特性，具有如下功能：一）记录DHCP客户端IP地址与MAC地址的对应关系出于安全性的考虑，网络管理员可能需要记录用户上网时所用的IP地址，确认用户从DHCP服务器获取的IP地址和用户主机MAC地址的对应关系。

DHCP Snooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文，记录DHCP 客户端的MAC地址以及获取到的IP地址。

管理员可以通show dhcp-snooping database命令查看DHCP 客户端获取的IP地址信息。

二）保证客户端从合法的服务器获取IP地址在网络中如果有私自架设的DHCP服务器，则可能导致用户得到错误的IP地址。

为了使用户能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口：⏹信任端口是与合法的DHCP服务器直接或间接连接的端口。

信任端口对接收到的DHCP报文正常转发，从而保证了DHCP客户端获取正确的IP地址。

⏹不信任端口是不与合法的DHCP服务器连接的端口。

如果从不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文则会丢弃，从而防止了DHCP客户端获得错误的IP地址。

DHCP Snooping 功能在网络中的典型应用如下图的Switch A 所示。

Switch A (DHCP Snooping)Switch B (DHCP Relay)DHCP ServerDHCP ClientDHCP Client图12-1 DHCP 组网图DHCP Client 与DHCP Server 之间的报文交互过程如下图所示。

交换机安全-实施DHCP Snooping和IP ARP inspection功能了解了解DHCP Snooping1. DHCP Snooping功能概述DHCP都非常熟悉了，对于DHCP客户端而言，初始过程中都是通过发送广播的DHCP discovery消息寻找DHCP服务器，然而这时候如果内网中存在私设的DHCP服务器，那么就会对网络造成影响，例如客户端通过私设的DHCP服务器拿到一个非法的地址，最终导致PC无法上网。

2. DHCP Snooping技术特性3. DHCP Snooping基本特征DHCP Snooping将交换机分为Trust和Untrust两种安全级别端口DHCP Snooping仅接收并处理来自Trust接口的DHCP报文信息DHCP Snooping仅对目标VLAN起作用，其他Vlan无影响DHCP Snooping维护一张基本绑定数据库（binding database）保存针对Untrust接口的MAC地址、IP地址（DHCP分配的）、租期、绑定类型、VLAN号、接口编号DHCP Snooping为DAI的防ARP欺骗提供基本条件4. DHCP Snooping保护目的防止局域网内非法私立DHCP服务器分发IP地址，影响网络5. DHCP Snooping实施原则：条件具备的情况下，全网实施效果最好DHCP Snooping实施后，对整个VLAN 生效，默认端口为非信任端口，因此建议反向实施，即先部署DHCP Snooping，再修改接入交换机的上行接口为信任接口。

6. DHCP Snooping实施范围条件具备的情况下，全网接入交换机均需实施DHCP Snooping保护7.DHCP Snooping实施条件交换机IOS 须支持DHCP Snooping特性了解IP ARP inspection（DAI）1.DAI保护概述：(本文所述DAI保护指DAI及DHCP snooping的集成使用）与DHCP snooping一样，DAI（Dynamic ARP inspection）也是Cisco CISF（Catalyst Integrated Security Features）安全特性中的一项安全防护技术，主要用于防止MAC地址欺骗。

理解DHCPDHCP 协议被广泛用来动态分配可重用的网络资源，如 IP 地址。

一次典型的DHCP 获取 IP 的过程如下所示：DHCP Client 发出 DHCP DISCOVER广播报文给 DHCP Server，若 Client 在一定时间内没有收到服务器的响应，则重发 DHCP DISCOVER 报文。

DHCP Server收到 DHCP DISCOVER报文后，根据一定的策略来给 Client 分配资源(如 IP 地址)，然后发出 DHCP OFFER报文。

DHCP Client 收到 DHCP OFFER报文后，发出 DHCP REQUEST请求，请求获取服务器租约，并通告其他服务器已接受此服务器分配地址。

服务器收到 DHCP REQUEST报文，验证资源是否可以分配，如果可以分配，则发送 DHCP ACK 报文；如果不可分配，则发送 DHCP NAK 报文。

DHCP Client收到DHCP ACK 报文，就开始使用服务器分配的资源。

如果收到 DHCP NAK，则重新发送 DHCP DISCOVER报文。

理解DHCP SnoopingDHCP Snooping 就是 DHCP 窥探，通过对 Client 和服务器之间的 DHCP 交互报文进行窥探，实现对用户的监控，同时 DHCP Snooping起到一个 DHCP 报文过滤的功能，通过合理的配置实现对非法服务器的过滤。

下边对 DHCP Snooping 内使用到的一些术语及功能进行一些解释：DHCP Snooping TRUST 口：由于 DHCP 获取 IP的交互报文是使用广播的形式，从而存在着非法服务器影响用户正常 IP 的获取，更有甚者通过非法服务器欺骗窃取用户信息的现象，为了防止非法服务器的问题，DHCP nooping 把端口分为两种类型， TRUST口和UNTRUST口，设备只转发TRUST口收到的DHCP Reply报文，而丢弃所有来自UNTRUST口DHCP Reply报文，这样我们把合法的DHCP Server 连接的端口设置为 TURST 口，其他口设置为 UNTRUST 口，就可以实现对非法DHCP Server 的屏蔽。

动态ARP检测原理及应用在一个局域网中，网络安全可以通过多种方式来实现，而采取DHCP snooping（DHCP防护）及DAI检测（ARP防护）这种技术，保护接入交换机的每个端口，可以让网络更加安全，更加稳定，尽可能的减小中毒范围，不因病毒或木马导致全网的瘫痪。

下面将详细的对这种技术的原理和应用做出解释。

一、相关原理及作用1、DHCP snooping原理DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。

DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

当交换机开启了 DHCP-Snooping后，会对DHCP报文进行“侦听”，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP 地址和MAC地址信息。

另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。

信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。

这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

2、DHCP snooping作用DHCP snooping的主要作用就是隔绝私接的DHCP server，防止网络因多个DHCPserver而产生震荡。

DHCP snooping与交换机DAI技术的配合，防止ARP病毒的传播。

建立并维护一张DHCP snooping的“绑定表”，这张表可以通过dhcpack包中的ip和mac地址生成的，也可以通过手工指定。

它是后续DAI（Dynamic ARP Inspection）和IP Source Guard 基础。

这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。

二，需求分析客户需求配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关，以及DNS服务器的地址。

DHCP避免了因手工设置IP地址及子网掩码所产生的错误，也避免了把一个IP地址分配给多台主机所造成的地址冲突。

降低了IP地址管理员的设置负担，使用DHCP服务器可以大大地缩短配置网络中主机所花费的时间。

但是，随着DHCP服务的广泛应用，也产生了一些问题。

首先，DHCP服务允许在一个子网内存在多台DHCP服务器，这就意味着管理员无法保证客户端只能从管理员所设置的DHCP服务器中获取合法的IP地址，而不从一些用户自建的非法DHCP服务器中取得IP地址需求分析DHCP Snooping技术DHCP Snooping是一种通过建立DHCP Snooping Binding数据库，过滤非信任的DHCP消息，从而保证网络安全的特性。

DHCP Snooping就像是非信任的主机和DHCP服务器之间的防火墙。

通过DHCP Snooping来区分连接到末端客户的非信任接口和连接到DHCP服务器或者其他交换机的受信任接口。

三，配置步骤配置合法DHCP Server：1. 打开dhcp server的功能Ruijie(config)#service dhcp2. 配置DHCP的地址池Ruijie(config)#ip dhcp pool ippoolRuijie(dhcp-config)#domain-name Ruijie(dhcp-config)#network 172.16.1.0 255.255.255.0Ruijie(dhcp-config)#dns-server 200.1.1.1Ruijie(dhcp-config)#default-router 172.16.1.13. 配置DHCP Server地址池的不分配出去的地址Ruijie(config)#ip dhcp excluded-address 172.16.1.14. 配置接口ip地址Ruijie(config)#interface FastEthernet 0/0Ruijie(config-if)#ip address 172.16.1.1 255.255.255.0配置非法DHCP Server：1. 打开dhcp server的功能Ruijie(config)#service dhcp2. 配置DHCP的地址池Ruijie(config)#ip dhcp pool ippoolRuijie(dhcp-config)#domain-name Ruijie(dhcp-config)#network 192.168.1.0 255.255.255.0Ruijie(dhcp-config)#dns-server 202.1.1.1Ruijie(dhcp-config)#default-router 192.168.1.13. 配置DHCP Server地址池的不分配出去的地址Ruijie(config)#ip dhcp excluded-address 192.168.1.14. 配置接口地址ip地址Ruijie(config)#interface FastEthernet 0/0Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0 配置S2328G：1. 打开dhcp snooping的功能S2328G(config)#ip dhcp snooping2. 将端口配置为trust口S2328G(config)#interface FastEthernet 0/2S2328G(config-if)#ip dhcp snooping trust配置客户端PC：无需配置，网卡自动获取IP地址即可。

锐捷DHCP-Snooping技术白皮书摘要本文介绍DHCP-Snooping和相关技术，说明了在DCHP应用环境下，如何利用DHCP-Snooping技术并结合相关技术进行安全方面的控制，包括屏蔽非法服务器、阻止用户私设IP、防止ARP欺骗等目的。

关键词DHCP-Snooping IP报文硬件过滤ARP DAI ARP-Check技术白皮书修订记录目录摘要 (1)关键词 (1)1 缩略语 (4)2技术应用背景 (4)3 DHCP-Snooping技术分析 (5)3.1 DHCP技术简介 (5)3.2 DHCP-Snooping技术简介 (6)3.3非法DHCP报文拦截 (7)3.3.1屏蔽非法DHCP 服务器 (7)3.3.2过滤非法报文 (8)3.4 Option 82 (8)3.5提供安全过滤数据库 (8)3.5.1 DHCP-Snooping数据库 (8)3.5.2提供IP报文硬件过滤数据库 (9)3.5.3提供ARP报文过滤数据库 (9)4 DAI技术分析 (10)4.1了解ARP (10)4.2 DAI技术简介 (11)4.3 ARP报文限速 (11)4.4信任端口& 非信任端口 (11)4.5 ARP报文检测步骤 (12)5 应用方案 (13)5.1应用部署 (13)5.2应用拓扑 (13)5.2 DHCP-Snooping + DAI (14)5.4 DHCP-Snooping + ARP-Check (16)5.5友商对比 (17)1 缩略语缩略语英文全名中文解释IP Internet Protocol 互联网协议DHCP Dynamic Host Configuration动态主机配置协议ProtocolC/S Client / Server 客户端和服务器模式DNS Domain Name System 域名系统ARP Address Resolution Protocol 地址解析协议DAI Dynamic ARP Inspection 动态ARP检测MAC Media Access Control 介质访问控制VLAN Virtual Local Area Network 虚拟局域网CPU Central Processing Unit 中央处理器FTP File Transfer Protocol 文件传输协议TFTP Trivial File Transfer Protocol 日常文件传送协议DoS Denial of Service 拒绝服务2技术应用背景DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)采用客户端和服务器的运行机制，是一种简化主机IP地址配置管理的TCP/IP标准。

华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性，在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再使能接口或VLAN下的DHCP Snooping功能。

图1 配置DHCP Snooping基本功能组网图如上图1所示，Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP服务器。

以Switch_1为例，在使能DHCP Snooping功能时需要注意：使能DHCP Snooping功能之前，必须已使用命令dhcp enable使能了设备的DHCP功能。

全局使能DHCP Snooping功能后，还需要在连接用户的接口（如图中的接口if1、if2和if3）或其所属VLAN（如图中的VLAN 10）使能DHCP Snooping 功能。

当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN 使能DHCP Snooping功能。

请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。

1、使能DHCP Snooping功能[Huawei]dhcp snooping enable ?ipv4 DHCPv4 Snoopingipv6 DHCPv6 Snoopingvlan Virtual LAN<cr>或[Huawei]dhcp snooping over-vpls enable # 使能设备在VPLS网络中的DHCP Snooping功能或[Huawei-vlan2]dhcp snooping enable[Huawei-GigabitEthernet0/0/3]dhcp snooping enable2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted或[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/63、去使能DHCP Snooping用户位置迁移功能在移动应用场景中，若某一用户由接口A上线后，切换到接口B重新上线，用户将发送DHCP Discover报文申请IP地址。

dhcpsnoopingDHCP安全技术背景你有没有遇到过这样的现象，在公司⽹络环境中，有⼈私接⼩路由，导致下发⾮法IP地址，⽽获取到⾮法IP地址的终端将⽆法正常访问⽹络。

是不是很⽓⼈，⽽且在实际当中，接路由器⼀般都是藏起来，你找都不好找，那有没有⼀种办法，让这种⼩路由⽆法使⽤呢？即便是你接上了，也不让你⽤！！（其实如果接对的话，是没有问题的，就怕是你接错了）DHCP snooping 横空出世1）什么是DHCPsnoopingDHCP snooping，是针对于dhcp（动态分配主机协议）所做的安全机制，在⼀个内⽹中我们⽐较常见的情况如下，⼀个⼯位上的员⼯，为了⾃⼰上⽆线⽅便，⾃⼰私接了⼀台⽆线路由器，⽽恰巧⼜接在了lan⼝上，这种⼩型家⽤路由器的内⽹是可以分配 DHCP的，这样⼀台内⽹有些终端就从这⾥获得到了IP，⽽这个IP是根本就没有办法上⽹的，所以要通过dhcp snooping来解决（确认的说应该是在出现问题之间就解决掉）不让⾮法的DHCP服务器在⽹络中活动2）配置在哪⾥？确认的说，配置在接⼊交换机，并将上联⼝配置为trust信任3）有哪些特点只要开启了DHCPsnooping功能，那么所有的接⼝默认都是不信任的DHCP snooping的两种状态，1 信任：接收和转发所有DHCP包2 不信任：接收客户端的请求包，但是不转发实例在此拓扑中，R1为公司的GW，负责DHCP下发IP，⽽R2充当 TP-LINK，⾮法的DHCPserver三层交换机做DHCP 中继，配置在这⾥不再多说，（如果有不明⽩的，可以回看DHCP HELP那⼀篇）先保证全⽹能够正常通信，PC1能够获得公司合法的IP地址另外两台交换机的互联接⼝本配置TRUNK此时是正常的情况，PC可以获得到正确的IP地址此时开启R2,摸拟DHCP，并配置⼀个⾮法的DHCP地址池再⽤PC进⾏测试，这个时候，PC机就要看运⽓了，有的时候能够获得到正确的，有的时候获得到的就是⾮法的这个时候就要开启DHCP snooping了先到最后⼀台，SW4上开启1）全局开启(config)#ip dhcp snooping2）针对vlan(config)#ip dhcp snooping vlan 10 //记住，cisco的设备是针对于VLAN的，所以在开启的时候后⾯⼀定要加上VLAN编号3）进⼊接⼝配置信任：(config-if)#ip dhcp snooping trustSW4配置完成，此时如果⽤PC请求的话，还是有可能请求到⾮法的IP地址，因为TP-LINK在SW3上，所以SW3也要进⾏开启，配置完了吗？PC机请求⼀下发现SW3会有系统消息直接给的drop丢弃了，你会发现，在开启snooping之前，是没有这个消息的，为什么?关键词 option82⽤wireshark 抓包看⼀下这个82选项中包含了啥？这个紫⾊的框框中是什么意思？AABBCC004000，像是⼀个MAC,为什么会有它的MAC?答:这个是客户机请求DHCP时，会携带的交换机MAC地址，⽤于定位⽤，在⼀个局域⽹中有很多交换机，当请求到达路由器在回包的时候，好知道应该给哪台交换机，⽽这时，开启了DHCP snooping的设备是⽆法辨识82选项的，也就不允许通过。

爆肝了，一口气搞懂什么是DHCPSnoopingDHCP Snooping是DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系。

DHCP Snooping可以抵御网络中针对DHCP的各种攻击，为用户提供更安全的网络环境和更稳定的网络服务。

目录•为什么需要DHCP Snooping？•DHCP Snooping应用场景有哪些？•DHCP Snooping是如何工作的？为什么需要DHCP Snooping？目前DHCP协议（RFC2131）在应用的过程中遇到很多安全方面的问题，网络中存在一些针对DHCP的攻击，如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。

为了保证网络通信业务的安全性，引入DHCP Snooping技术。

在DHCP Client和DHCP Server之间建立一道防火墙，以抵御网络中针对DHCP的各种攻击。

DHCP Snooping应用场景有哪些？防止DHCP Server仿冒者攻击导致用户获取到错误的IP地址和网络参数攻击原理由于DHCP Server和DHCP Client之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

如果该DHCP服务器为用户分配错误的IP地址和其他网络参数，将会对网络造成非常大的危害。

如下图所示，DHCP Discover报文是以广播形式发送，无论是合法的DHCP Server，还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。

DHCP Client发送DHCP Discover报文示意图DHCP Client发送DHCP Discover报文示意图如果此时DHCP Server仿冒者回应给DHCP Client仿冒信息，如错误的网关地址、错误的DNS（Domain Name System）服务器、错误的IP等信息，如图2所示。

一、机制概述DHCP都非常熟悉了，对于DHCP客户端而言，初始过程中都是通过发送广播的DHCP discovery消息寻找DHCP服务器，然而这时候如果内网中存在私设的DHCP服务器，那么就会对网络造成影响，例如客户端通过私设的DHCP 服务器拿到一个非法的地址，最终导致PC无法上网。

在DHCP snooping环境中（部署在交换机上），我们将端口视为trust或untrust两种安全级别，也就是信任或非信任接口。

在交换机上，将连接合法DHCP 服务器的接口配置为trust。

只有trust接口上收到的来自DHCPserver的报文（如DHCPOFFER, DHCPACK, DHCPNAK, 或者DHCPLEASEQUERY）才会被放行，相反，在untrust接口上收到的来自DHCPserver的报文将被过滤掉，这样一来就可以防止非法的DHCPserver接入。

同时在部署了DHCP Snooping了交换机本地，还能维护一张DHCPsnooping的绑定数据库（binding database），用于保存侦听到的DHCP交互的表项，信息包括（针对untrust接口的）：MAC地址、IP地址（DHCP 分配的）、租期、绑定类型、VLAN号、接口编号（DHCP客户端也就是连接客户端PC的untrust接口）。

这个DHCP snooping banding databse除了可以做一些基本的安全接入控制，还能够用于DAI等防ARP欺骗的解决方案。

一台支持DHCP snooping的交换机，如果在其untrust接口上，收到来自下游交换机发送的、且带有option82的DHCP报文，则默认的动作是丢弃这些报文。

如果该交换机开启了DHCP snooping并且带有option82的DHCP报文是在trusted接口上收到的，则交换机接收这些报文，但是不会根据报文中包含的相关信息建立DHCP bingdingdatabse表项。