1

DHCP的Snooping特性是他的一種安全特性，使用了這個特性後，可以達到什麼樣的效果呢？慢慢講來。

使用了這個特性後，DHCP服務器後就會在分配IP地址的時候，把那些分配出去的IP地址和對應的客戶機的MAC地址都記錄在一個binding數據庫中，下面的客戶機發送消息的時候，都得檢查數據包的源IP地址和MAC地址，是不是和這個數據庫中的相關條目是一樣的，如果就通過，如果不是，就直接DROP掉。在使用這個特性的時候，其中牽涉到信任端口和非信任端口。對於非信任端口，只接受DHCP請求包，不接受DHCP的一切非請求包。所以使用了這個特性，我們就可以避免DHCP服務器的冒充，我們把連接DHCP服務器的端口和連接設備的上聯接口都配置成信任接口。在access mode 下的接口，我們都設置成非信任接口，這樣的話，即使下面連接的設備不小心開啓了DHCP服務，也不會相應自己接收到的DHCP請求包，這樣一來，就可以限制DHCP服務器的冒充。這個時候，還可以在某程度上限制用戶私自修改IP地址而導致的 IP地址衝突。因爲你如果想修改的話，IP地址和MAC地址的對應關係就和DHCP服務器的綁定表中不一樣了，就會被丟棄。但是，如果要IP地址和MAC都同時修改對了的話，就可以順利通過了。