DHCP Snooping的作用是什么

1688397141,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区

问题描述：

DHCP snooping作用

组网及组网描述：

8小时前提问

DHCP Snooping是DHCP的一种安全特性，具有如下功能，如果现网有DHCP配置且有如下需求，可以在设备上开启DHCP Snooping。
1. 保证客户端从合法的服务器获取IP地址
网络中如果存在私自架设的非法DHCP服务器，则可能导致DHCP客户端获取到错误的IP地址和网络配置参数，从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口：
• 信任端口正常转发接收到的DHCP报文。
• 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文。
在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口，其他端口设置为不信任端口，从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
2. 记录DHCP Snooping表项
DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文，记录DHCP Snooping表项，其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现ARP Detection功能，即根据DHCP Snooping表项来判断发送ARP报文的用户是否合法，从而防止非法用户的ARP攻击。

8小时前回答

暂无

DHCP Snooping简介

DHCP Snooping是DHCP的一种安全特性。

DHCP Snooping设备只有位于DHCP客户端与DHCP服务器之间，或DHCP客户端与DHCP中继之间时，DHCP Snooping功能配置后才能正常工作；设备位于DHCP服务器与DHCP中继之间时，DHCP Snooping功能配置后不能正常工作。

1.1.1  DHCP Snooping作用

1. 保证客户端从合法的服务器获取IP地址

网络中如果存在私自架设的非法DHCP服务器，则可能导致DHCP客户端获取到错误的IP地址和网络配置参数，从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口：

·     信任端口正常转发接收到的DHCP报文。

·     不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文。

在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口，其他端口设置为不信任端口，从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。

2. 记录DHCP客户端IP地址与MAC地址的对应关系

DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文，记录DHCP Snooping表项，其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现：

·     ARP快速应答：根据DHCP Snooping表项来判断是否进行ARP快速应答，从而减少ARP广播报文。ARP快速应答的详细介绍请参见“三层技术-IP业务配置指导”中的“ARP快速应答”。

·     ARP Detection：根据DHCP Snooping表项来判断发送ARP报文的用户是否合法，从而防止非法用户的ARP攻击。ARP Detection的详细介绍请参见“安全配置指导”中的“ARP攻击防御”。

·     IP Source Guard：通过动态获取DHCP Snooping表项对端口转发的报文进行过滤，防止非法报文通过该端口。IP Source Guard的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

·     VLAN映射：发送给用户的报文通过查找指定VLAN对应的DHCP Snooping表项中的DHCP客户端IP地址、MAC地址和原始VLAN的信息，将报文的指定VLAN修改为原始VLAN。VLAN映射的详细介绍请参见“二层技术-以太网交换配置指导”中的“VLAN映射”

8小时前回答

暂无

简单来说就是指定一些端口可以通过dhcp，一些端口不能通过dhcp，效果就是没有通过dhcp报文的端口无法获取到地址，可以通过的端口就是trust端口，可以通过trust端口获取到上面的dhcp地址

8小时前回答

暂无

没那么多话，主要作用就是：让配置了dhcp snoping 的交换机仅仅信任它自己定义过的上联口作为dhcp信任源。

怎么理解？

配置了这个的交换机，它下面接的电脑只会从你指定的、合法的dhcp获取IP，而不受私接路由器DHCP出来的IP地址。

可防止内网IP地址的环境，不被其他dhcp设备污染

8小时前回答

暂无

你正在,DHCP Snooping的作用是什么