DHCP Snooping

DHCP Snooping

DHCP监听将交换机端口划分为两类:

信任端口(Trust):连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口;

非信任端口(Untrusted):通常为连接终端设备的端口,如PC,网络打印机等。

HCP Snooping的作用:

1.DHCP Snooping的主要作用就是通过配置非信任端口,隔绝非法的DHCP Server;

2.DHCP Snooping与交换机DAI的配合,防止ARP病毒的传播;

3.DHCP Snooping建立和维护一张DHCP Snooping监听绑定表,这张表是后续DAI(Dynamic Arp Inspect)和IPSG

  (IP Source Guard)的基础。这两种类似的技术,是通过这张表来判定IP或者MAC地址是否合法,来限制用户连

  接到网络的。

Cisco开启DHCP Snooping后的一些默认值:

1.默认关闭,所有端口都为非信任端口,“no ip dhcp snooping trust”;

2.默认关闭,汇聚交换机丢弃从非信任端口收到的接入交换机发来的带有Option-82 Information的DHCP报文,

            “no ip dhcp snooping information option allow-untrusted”;

  ①开启后,汇聚交换机接收从非信任端口收到的接入交换机发来的带有Option-82 Information的DHCP报文。

3.默认开启,为非信任端口收到的DHCP包插入Option 82,“ip dhcp snooping information option”;

  ①关闭后,汇聚交换机接收从非信任端口收到的接入交换机发来的不带Option-82 Information的DHCP报文。

4.默认开启,限制对非信任接口DHCP包的转发速率为15个/s,“ip dhcp snooping limit rate 15”;

5.默认开启,检测源MAC地址和CHADD字段是否相同,“ip dhcp snooping verify mac-address”;

6.默认开启,DHCP监听绑定表发生更新后,默认等待300s后再写入文件,

           “ip dhcp snooping database write-delay 300”;

7.默认开启,DHCP监听绑定表尝试写入操作失败后,默认直到300s后停止尝试,

           “ip dhcp snooping database timeout 300”。