DHCP Snooping原理和配置

• 基本原理
• 配置

一、基本原理

DHCP Snooping
功能： 使能该技术可以防止非法用户攻击，使得客户端可以从合法的服务器获取IP。
过程：使能了DHCP Snooping的设备将用户（DHCP客户端）的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping的接口接收用户发来的DHCP报文时，会进行匹配检查，能够有效防范非法用户的攻击。
作用： 在网络中使用DHCP Snooping技术可以控制DHCP服务器应答报文的来源，以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息。

DHCP Snooping信任功能将接口分为信任接口和非信任接口：
信任接口(trust)正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
非信任接口(untrust)在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后，丢弃该报文。

DHCP Snooping绑定表
使能DHCP Snooping功能的二层接入设备收到DHCP服务器发送的ACK消息的时候，会提取其中的关键字段形成绑定表，包括IP地址、MAC地址、以及客户端和二层接入设备的接口信息(接口编号和VLAN所属)。
DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。
由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系，故通过对报文与DHCP Snooping绑定表进行匹配检查，能够有效防范非法用户的攻击。
      为了保证设备在生成DHCP Snooping绑定表时能够获取到用户MAC等参数，DHCP Snooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上。
      在DHCP中继使能DHCP Snooping场景中，DHCP Relay设备不需要设置信任接口。因为DHCP Relay收到DHCP请求报文后进行源目的IP、MAC转换处理，然后以单播形式发送给指定的合法DHCP服务器，所以DHCP Relay收到的DHCP ACK报文都是合法的，生成的DHCP Snooping绑定表也是正确的。

DHCP Snooping应用场景
1、防止DHCP Server仿冒者攻击导致用户获取到错误的IP地址和网络参数
2、防止非DHCP用户攻击导致合法用户无法正常使用网络
3、防止DHCP报文泛洪攻击导致设备无法正常工作
4、防止仿冒DHCP报文攻击导致合法用户无法获得IP地址或异常下线
5、防止DHCP Server服务拒绝攻击导致部分用户无法上线

二、配置

特点：
1、DHCP Snooping功能是交换机的基本特性，无需获得License许可即可应用此功能。
2、如果需要上线的用户数目超过了设备支持的DHCP Snooping绑定表规格，超出的用户将无法上线。
3、DHCP Snooping功能不支持在接口的三层模式下配置。
4、VXLAN场景下，不支持DHCPv6 Snooping功能。
5、VRRP场景下，备设备不能同步主设备上的DHCP Snooping绑定表。故VRRP场景下不能配置DHCP Snooping功能，否则会导致主备倒换后原有业务失效.
6、DHCP Snooping最多支持处理带有双层VLAN Tag的DHCP报文。对于带有更多层VLAN Tag的报文建议不要配置DHCP Snooping功能，否则会导致丢包，影响用户的使用体验。
7、如果设备使能了DHCP Snooping功能，不能配置2 to 2的VLAN Mapping功能，否则会导致DHCP用户无法上线。

1、执行命令dhcp snooping enable [ ipv4 | ipv6 ]，全局使能DHCP Snooping功能。
缺省情况下，设备全局未使能DHCP Snooping功能。
也可在VLAN接口下使能dhcp snooping
2、使能后，配置信任接口，这样才能 生成DHCP Snooping绑定表。
进入接口模式下： dhcp snooping trusted   默认接口是untrust
或者直接使用  dhcp snooping trusted interface g0/0/1.
VLAN视图下：
	执行命令vlan vlan-id，进入VLAN视图。
	执行命令dhcp snooping trusted interface interface-type interface-number ，配置接口为“信任”接口。
	缺省情况下，接口的状态为“非信任”状态。
	在VLAN视图下执行此命令，则命令功能仅对加入该VLAN的接口收到的属于此VLAN的DHCP报文生效；在接口下执行该 命令，则命令功能对该接口接收到的所有DHCP报文生效。
3、查看配置信息。
display dhcp snooping configuration [ vlan vlan-id | interface interface-type interface-number

查看DHCP Snooping绑定表相关信息。
执行命令display dhcp snooping user-bind