我们对于DHCP Snooping的学习也有了一段时间了。那么DHCP Snooping是DHCP处理安全问题的一道屏障。那么我们今天来看一下ARP以及DHCP Snooping的内容。
DHCP Snooping和ARP探测的关系
ARP 探测就是对经过设备的所有 ARP 报文进行检查, DHCP Snooping需要提供数据库信息供 ARP 探测使用,在开启 DAI 功能的设备上,当收到 ARP报文时,DAI 模块就根据报文查询 DHCP snooping的绑定数据库,只有当收到得 ARP 报文得 mac、ip 和端口信息都匹配时才认为收到的 ARP 报文是合法的,才进行相关的学习和转发操作,否则丢弃该报文。
DHCP Snooping配置的其他注意事项
DHCP Snooping功能与 1x的 DHCP Option 82 功能是互斥的,即不能同时使用
DHCP Snooping和 DHCP Option82
DHCP Snooping仅对用户的DHCP过程进行窥探,若想控制用户必须使用DHCP分配的 IP 上网, 则必须使用 ARP 探测功能,而 ARP 检测模块需要检测所有 ARP报文,所以会对设备的整体性能产生影响,需要用户注意。
配置打开和关闭DHCP Snooping
缺省情况下,设备的 DHCP Snooping 功能是关闭,当配置 ip dhcp snooping 命令后,设备就打开了 dhcp snooping 功能,开始对 dhcp报文进行监控。
- switch# configure terminal //进入配置模式
- switch(config)# [no] ip dhcp snooping DHCP snooping //打开和关闭
下边是配置打开设备 DHCP snooping功能:
- switch# configure terminal
- switch(config)# ip dhcp snooping
- switch(config)# end
- switch#
配置DHCP源MAC检查功能
配置此命令后,设备就会对 UNTRUST 口送上来的 DHCP Request 报文进行源MAC和 Client 字段的 MAC地址校验检查,丢弃 MAC值不相同的不合法的报文。默认不检查。
- switch# configure terminal //进入配置模式
- switch(config)# [no]ip dhcp snooping
- verify mac-address
