DHCP Snooping时DHCP的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击

 

通过配置信任端口和非信任端口来实现安全防护

信任接口

正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文

设备只会将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。

非信任接口

在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后，丢弃该报文

DHCP Snooping绑定表

设备根据收到的DHCP ACK报文，建立DHCP Snooping绑定表

此表包含客户端的IP地址、客户端的MAC地址、客户端的Vlan、客户端所在接口等信息

DHCP Snooping绑定表可以根据DHCP租期自行老化，也可以根据DHCP Release报文删除对应表项

注意事项

在DHCP中继使能DHCP Snooping场景下，DHCP Relay设备不需要设置信任端口

因为DHCP Relay设备是以单播的形式向DHCP服务器请求IP地址的，所以Relay设备收到的ACK报文都是合法的

配置DHCP Snooping

正常配置DHCP服务器1，通过全局地址池的方式分配地址

PC1属于Vlan1（即LSW1上不需要做Vlan相关配置）

必选配置

开启DHCP（开启DHCP后才可以配置DHCP Snooping）

dhcp enable

开启IPv4的DHCP Snooping

dhcp snooping enable ipv4  

接口开启DHCP Snooping并配置信任端口

interface Ethernet0/0/1   与服务器相连端口

 dhcp snooping enable   开启DHCP Snooping

 dhcp snooping trusted   配置端口为信任端口

interface Ethernet0/0/2    与客户端相连端口

 dhcp snooping enable

可选配置

配置当用户下线后删除本地绑定表

dhcp snooping user-offline remove mac-address 

配置ARP与DHCP Snooping联动

arp dhcp-snooping-detect enable 

在Vlan1内配置DHCP Request检查（防止攻击者仿冒用户的DHCP Request报文）

dhcp snooping check dhcp-request enable vlan 1 

查看DHCP Snooping绑定表