一、DHCP snooping概述
1. DHCP snooping技术背景
在部署有DHCP服务器的园区网中,由于存在非法的DHCP服务器,会使得很多终端获取到了错误的IP地址信息,并最终导致网络访问异常。DHCP Snooping,中文名称为DHCP窥探,可以提供两方面的功能:
- 启用DHCP Snooping功能的接入交换机,将端口置为Untrust口,此类型的端口将过滤网络中非法DHCP服务器发出的报文,从而防止非法DHCP服务器服务器提供错误的IP地址和网关
- 通过对Client和服务器之间的DHCP交互报文进行窥探实现对用户IP地址使用情况的记录和监控,生成DHCP Snooping Binding表项,所有这些表项作为合法用户的信息表,提供给设备的其它安全模块使用,实现进一步的接入安全功能。
2. 非法DHCP服务器对网络的影响
核心交换机作为园区网用户的网关设备,启用DHCP功能,实现园区网接入用户自动获取IP地址的需求,同时某接入交换机旁挂了一台非法的DHCP服务器。
- 终端发出DHCP Discover广播包,同时被核心交换机(合法DHCP服务器)和合法的DHCP服务器收到
- 核心交换机和非法DHCP服务器都会回应一个Offer报文
- 终端PC1有可能最先收到非法DHCP服务器回应的Offer报文,PC1就会给非法的DHCP服务器发送Request报文去请求IP地
