總體來說,DHCP Snooping具有以下兩方面功能:
保證DHCP客戶端從合法的DHCP服務器處獲取IP地址。
記錄DHCP客戶端IP地址與MAC地址的對應關係。
1.保證DHCP客戶端從合法的DHCP服務器處獲取IP地址
爲了使DHCP客戶端能通過合法的DHCP服務器獲取IP地址,DHCP Snooping安全機制允許將端口分爲"信任端口"(Trusted Port)和"不信任端口"(Untrusted Port)兩大類。信任端口正常轉發接收到的DHCP報文;而不信任端口接收到DHCP服務器響應的DHCP-ACK和DHCP-OFFER報文後,丟棄該報文。然後把連接合法DHCP服務器和其他DHCP Snooping設備的端口設置爲信任端口,其他所有端口(包括連接DHCP客戶端的端口)均設置爲不信任端口,如圖5-9所示。
這樣做的目的是可以保證DHCP客戶端只能從合法的DHCP服務器獲取IP地址,私自架設的僞DHCP服務器因爲所發出的DHCP服務器應答報文無法被轉發,最終不能爲DHCP客戶端提供IP地址分配。
【注意】目前,可以配置爲DHCP Snooping信任端口的接口類型包括:二層以太網端口、二層聚合端口,不能是三層端口。如果二層以太網端口加入聚合組,則在該端口上進行的DHCP Snooping相關配置不會生效,直到該端口退出聚合組。爲了使DHCP客戶端能從合法的DHCP服務器獲取IP地址,必須將與合法DHCP服務器相連的端口設置爲信任端口,且設置的信任端口和與DHCP客戶端相連的端口必須在同一個VLAN內。
2.記錄DHCP客戶端IP地址與MAC地址的對應關係
另外,啓用DHCP Snooping功能後,通過監聽非信任端口收到的DHCP-REQUEST和信任端口收到的DHCP-ACK廣播報文可以記錄DHCP Snooping表項,其中包括客戶端的MAC地址、獲取到的IP地址、與DHCP客戶端連接的端口及該端口所屬的VLAN等信息。利用這些信息可以幫助實現以下這些其他安全功能(不是本節介紹的範圍):
ARP快速應答:根據DHCP Snooping表項來判斷是否進行ARP快速應答,從而減少ARP廣播報文。
ARP Detection(ARP檢測):根據DHCP Snooping表項來判斷髮送ARP報文的用戶是否合法,從而防止非法用戶的ARP攻擊。
IP Source Guard:通過動態獲取DHCP Snooping表項對端口轉發的報文進行過濾,防止非法報文通過該端口。
在多個DHCP Snooping設備級聯的網絡中,爲了節省系統資源,不需要每臺DHCP Snooping設備都記錄所有DHCP客戶端的IP地址和MAC地址的綁定,只需要在與客戶端直接相連的DHCP Snooping設備上記錄綁定信息。這可以通過將間接與DHCP客戶端相連的端口配置爲不記錄IP地址和MAC地址綁定的信任端口來實現。如果DHCP客戶端發送的請求報文從此類信任端口到達DHCP Snooping設備,DHCP Snooping設備不會記錄客戶端IP地址和MAC地址的綁定。如圖5-10所示是一個多個DHCP Snooping設備級聯的示例。
