dhcp snooping有什么用

這篇文章主要介紹了dhcp snooping有什么用，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

DHCP Snooping的作用：1、與交換機(jī)DAI的配合，防止ARP病毒的傳播；2、通過建立信任端口和非信任端口，對非法DHCP服務(wù)器進(jìn)行隔離，信任端口正常轉(zhuǎn)發(fā)DHCP數(shù)據(jù)包，非信任端口收到的服務(wù)器響應(yīng)做丟包處理，不進(jìn)行轉(zhuǎn)發(fā)。

DHCP Snooping是 DHCP 的一種安全特性，主要應(yīng)用在 交換機(jī) 上，作用是屏蔽接入網(wǎng)絡(luò)中的非法的 DHCP 服務(wù)器。即開啟 DHCP Snooping 功能后，網(wǎng)絡(luò)中的客戶端只有從管理員指定的 DHCP 服務(wù)器獲取 IP 地址。

由于 DHCP 報(bào)文缺少認(rèn)證機(jī)制，如果網(wǎng)絡(luò)中存在非法 DHCP 服務(wù)器，管理員將無法保證客戶端從管理員指定的 DHCP服務(wù)器獲取合法地址，客戶機(jī)有可能從非法 DHCP 服務(wù)器獲得錯(cuò)誤的 IP 地址等配置信息，導(dǎo)致客戶端無法正常使用網(wǎng)絡(luò)。

啟用 DHCP Snooping 功能后，必須將 交換機(jī)上的端口設(shè)置為信任(Trust)和非信任(Untrust)狀態(tài)，交換機(jī) 只轉(zhuǎn)發(fā)信任端口的 DHCP OFFER/ACK/NAK報(bào)文，丟棄非信任端口的 DHCP OFFER/ACK/NAK 報(bào)文，從而達(dá)到阻斷非法 DHCP 服務(wù)器的目的。

建議將連接 DHCP 服務(wù)器的端口設(shè)置為信任端口，其他端口設(shè)置為非信任端口。此外 DHCP Snooping 還會(huì)監(jiān)聽經(jīng)過本機(jī)的 DHCP 數(shù)據(jù)包，提取其中的關(guān)鍵信息并生成 DHCP Binding Table 記錄表，一條記錄包括 IP、MAC、租約時(shí)間、端口、VLAN、類型等信息，結(jié)合 DAI(Dynamic ARP Inspection)和 IPSG(IP Source Guard)可實(shí)現(xiàn)ARP防欺騙和IP流量控制功能。

dhcp snooping的作用

1、dhcp-snooping的主要作用就是隔絕非法的dhcp server，通過配置非信任端口。

2、與交換機(jī)DAI的配合，防止ARP病毒的傳播。

3、建立和維護(hù)一張dhcp-snooping的綁定表，這張表一是通過dhcp ack包中的ip和mac地址生成的，二是可以手工指定。這張表是后續(xù)DAI（dynamic arp inspect）和IPSource Guard 基礎(chǔ)。這兩種類似的技術(shù)，是通過這張表來判定ip或者mac地址是否合法，來限制用戶連接到網(wǎng)絡(luò)的。

4、通過建立信任端口和非信任端口，對非法DHCP服務(wù)器進(jìn)行隔離，信任端口正常轉(zhuǎn)發(fā)DHCP數(shù)據(jù)包，非信任端口收到的服務(wù)器響應(yīng)的DHCP offer和DHCPACK后，做丟包處理，不進(jìn)行轉(zhuǎn)發(fā)。

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“dhcp snooping有什么用”這篇文章對大家有幫助，同時(shí)也希望大家多多支持億速云，關(guān)注億速云行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來學(xué)習(xí)!