DHCP 嗅探是一项保障DHCP服务的安全协议,为防范个人私自部署路由器而产生内网内IP地址冲突
端口角色
信任端口(TRUST)
该端口的DHCP报文将被接收
非信任端口(UNTRUST)
该端口的DHCP报文不做处理,被丢弃,也不会发送DHCP相关报文
DHCP绑定表
通过截获DHCP Server与DHCP Client之间的DHCP报文,建立和维护一张记录DHCP Client信息的DHCP Snooping绑定表,该表包含用户MAC地址、IP地址、租用期、VLANID、接口等信息
OP82
RFC 3046定义了DHCP Relay Agent Information Option(Option 82),该选项记录了DHCP Client的位置信息。DHCP Snooping设备或DHCP Relay通过在DHCP请求报文中添加Option82选项,将DHCP Client的精确物理位置信息传递给DHCP Server,从而使得DHCP Server能够为主机分配合适的IP地址和其他配置信息,实现对客户端的安全控制。
Option82包含两个常用子选项Circuit ID和Remote ID
Circuit ID子选项:主要用来标识客户端所在的VLAN、接口等信息
Remote ID子选项:主要用来标识客户端接入的设备,一般为设备的MAC地址
设备作为DHCP Relay时,使能或未使能DHCP Snooping功能都可支持Option82选项功能,但若设备在二层网络作为接入设备,则必须使能DHCP Snooping功能方可支持Option82功能。
相关配置
dhcp snooping enable全局启用功能(接口下即把接口配置为untrust)
dhcp snooping trusted(接口下启用)把接口划入trust
dhcp snooping alarm enable
dhcp snooping alarm threshold 100告警开启,对丢弃报文进行统计,阈值为100packet
reset dhcp snooping statistics清除 DHCP Snooping 的统计信息,以便准确查看丢弃报文的信息
dhcp option82 enable配置op82,记录客户端位置,可用于安全控制