1. DHCP Snooping 特征
- 一般用于二层接入设备或第一个 DHCP Relay 设备上
- 保证 DHCP Client 从合法的 DHCP Server 获取 IP 地址
- 记录 DHCP Client IP 地址与 MAC 地址等参数的映射关系,防止 DHCP 攻击
- 支持 IPv4 和 IPv6
- DHCP Requet 报文通过「信任接口**」**发送给合法的 DHCP Server
- 根据 DHCP 服务器回应的 DHCP Ack 报文信息生成 DHCP Snooping 绑定表
2. DHCP Snooping 端口类型
- 信任接口:设备只会把 DHCP 报文发往信任接口,正常接收 DHCP Server 响应的 DHCP ACK、DHCP NAK 和 DHCP Offer 报文
- 非信任接口:丢弃所有非信任接口的 DHCP 报文
3. DHCP Snooping 绑定表
- 设备收到 DHCP Ack 报文后,会从报文中提取出 IP地址、MAC地址、VLAN、接口、租期等信息动态建立一个绑定表象
- 根据 DHCP 租期进行老化或释放 IP 地址时发出的 DHCP Release 报文自动删除对应表项
4. Option 82
- Option82 选项仅记录了 DHCP Client 的精确物理位置信息并通过 DHCP Request 报文中将该信息发送给 DHCP Server
- Option82 包含两个常用子选项 Circuit ID 和 Remote ID
- Circuit ID:主要用来标识客户端所在的 VLAN、接口等
- Remote ID:主要用来标识客户端的 MAC 地址
- Option82 主要的实现方式
- Insert 方式:当设备收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项;若该报文中含有Option82选项,则判断Option82选项中是否包含remote-id,如果包含,则保持Option82选项不变,如果不包含,则插入remote-id
- Rebuild 方式:当设备收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项;若该报文中含有Option82选项,则删除该Option82选项并插入管理员自己在设备上配置的Option82选项
- Insert 方式:当设备收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项;若该报文中含有Option82选项,则判断Option82选项中是否包含remote-id,如果包含,则保持Option82选项不变,如果不包含,则插入remote-id
- 对于收到 DHCP Server 的 Offer 报文处理方式
- 如果设备收到的 DHCP Request 报文中没有 Option82 选项,则设备将删除 DHCP Offer 报文中的 Option82 选项,之后转发给 DHCP Client
- 如果设备收到的 DHCP Request 报文中有 Option82 选项,则设备将 DHCP Offer 响应报文中的 Option82 选项格式还原为 DHCP 请求报文中的 Option82 选项,之后转发给 DHCP Client