dhcp snooping是一种dhcp安全特性,能够过滤来自网络中主机或其他设备的非信任dhcp报文,通过建立并维护dhcp binding表.
DHCP snooping 建立DHCP binding表,其中包括客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等信息。交换机支持在每个VLAN基础上启用DHCP snooping特性。通过这种特性,交换机能够限制终端用户,也就是非信任端口只能够发送dhcp请求,并且将丢弃来自用户端口的所有其他dhcp报文,比如dhcp offer.dhcp的信任端口是连接到已知的dhcp服务器或与分布层交换机之间的上行链路端口.信任端口能够发送和接受所有的dhcp报文.交换机只允许受信任的dhcp服务器能够通过dhcp响应来分发dhcp地址.这种方法能够避免用户通过建立自己的dhcp服务器来分发非授权的地址.
dhcp snooping特性通常与接口跟踪特性结合使用,交换机将在dhcp报文中插入选项82,option 82是中继代理信息选项.sh ip dhcp snooping 会看到 Insertion of option 82 is enabled.
配置dhcp snooping的主要作用:1.可以通过dhcp snooping的limit rate来防止dhcp Dos攻击;2.能够避免配置不当或因用户连接问题所导致的恶意dhcp服务器.
——————————————————————————————————————————
dhcp snooping 技术主要应用在进一步部署IPSG和DAI技术上.
IPSG,ip source guard,是一种第2层接口特性,IPSG能够提供检测机制来确保单个接口所接受到的数据包能够被各个接口所接受.如果检查通过,就将许可数据包,否则就会发生违背策略活动.在同一网络中,如果别人占用了你的IP地址,就会被dhcp snooping binding表检查不通过,数据流传输就会被终止.
IPSG作用:能够确保2层网络中终端设备的IP地址不被劫持,而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或导致网络崩溃及瘫痪,有效的防止了内部网络乱改IP的现象,也有效的在第2层防止IP地址的欺骗攻击.
