DHCP Snooping时DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击
通过配置信任端口和非信任端口来实现安全防护
信任接口
正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文
设备只会将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。
非信任接口
在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文
DHCP Snooping绑定表
设备根据收到的DHCP ACK报文,建立DHCP Snooping绑定表
此表包含客户端的IP地址、客户端的MAC地址、客户端的Vlan、客户端所在接口等信息
DHCP Snooping绑定表可以根据DHCP租期自行老化,也可以根据DHCP Release报文删除对应表项
注意事项
在DHCP中继使能DHCP Snooping场景下,DHCP Relay设备不需要设置信任端口
因为DHCP Relay设备是以单播的形式向DHCP服务器请求IP地址的,所以Relay设备收到的ACK报文都是合法的
配置DHCP Snooping
正常配置DHCP服务器1,通过全局地址池的方式分配地址
PC1属于Vlan1(即LSW1上不需要做Vlan相关配置)
必选配置
开启DHCP(开启DHCP后才可以配置DHCP Snooping)
dhcp enable
开启IPv4的DHCP Snooping
dhcp snooping enable ipv4
接口开启DHCP Snooping并配置信任端口
interface Ethernet0/0/1 与服务器相连端口
dhcp snooping enable 开启DHCP Snooping
dhcp snooping trusted 配置端口为信任端口
interface Ethernet0/0/2 与客户端相连端口
dhcp snooping enable
可选配置
配置当用户下线后删除本地绑定表
dhcp snooping user-offline remove mac-address
配置ARP与DHCP Snooping联动
arp dhcp-snooping-detect enable
在Vlan1内配置DHCP Request检查(防止攻击者仿冒用户的DHCP Request报文)
dhcp snooping check dhcp-request enable vlan 1
查看DHCP Snooping绑定表
