對于DHCP來說，可能有些朋友已經(jīng)了若指掌了。那么那些新手朋友可能對 DHCP Snooping這部分內(nèi)容還有所疑惑。這里我們就來講解一下 DHCP Snooping的知識。希望對大家有用。首先讓我們看看DHCP服務(wù)器的客戶端和服務(wù)端的相關(guān)工作流程是什么樣的。

DHCP Client 發(fā)出 DHCP DISCOVER廣播報(bào)文給 DHCP Server，若 Client 在一定時(shí)間內(nèi)沒有收到服務(wù)器的響應(yīng)，則重發(fā) DHCP DISCOVER 報(bào)文。DHCP Server收到 DHCP DISCOVER報(bào)文后，根據(jù)一定的策略來給 Client 分配資源(如 IP 地址)，然后發(fā)出 DHCP OFFER報(bào)文。DHCP Client 收到 DHCP OFFER報(bào)文后，發(fā)出 DHCP REQUEST請求，請求獲取服務(wù)器租約，并通告其他服務(wù)器已接受此服務(wù)器分配地址。
 
服務(wù)器收到 DHCP REQUEST報(bào)文，驗(yàn)證資源是否可以分配，如果可以分配，則發(fā)送 DHCP ACK 報(bào)文；如果不可分配，則發(fā)送 DHCP NAK 報(bào)文。DHCP Client收到 DHCP ACK 報(bào)文，就開始使用服務(wù)器分配的資源。如果收到 DHCP NAK，則重新發(fā)送 DHCP DISCOVER報(bào)文。

理解DHCP Snooping

DHCP Snooping 就是 DHCP 窺探，通過對 Client 和服務(wù)器之間的 DHCP 交互報(bào)文進(jìn)行窺探，實(shí)現(xiàn)對用戶的監(jiān)控，同時(shí) DHCP Snooping起到一個 DHCP 報(bào)文過濾的功能，通過合理的配置實(shí)現(xiàn)對非法服務(wù)器的過濾。下邊對 DHCP Snooping內(nèi)使用到的一些術(shù)語及功能進(jìn)行一些解釋：

DHCP Snooping TRUST 口：由于 DHCP 獲取 IP的交互報(bào)文是使用廣播的形式，從而存在著非法服務(wù)器影響用戶正常 IP 的獲取，更有甚者通過非法服務(wù)器欺騙竊取用戶信息的現(xiàn)象，為了防止非法服務(wù)器的問題，DHCP nooping 把端口分為兩種類型， TRUST口和UNTRUST口，設(shè)備只轉(zhuǎn)發(fā)TRUST口收到的DHCP Reply報(bào)文，而丟棄所有來自UNTRUST口DHCP Reply報(bào)文，這樣我們把合法的DHCP Server 連接的端口設(shè)置為 TURST 口，其他口設(shè)置為 UNTRUST 口，就可以實(shí)現(xiàn)對非法 DHCP Server 的屏蔽。

DHCP Snooping 綁定數(shù)據(jù)庫：在 DHCP 環(huán)境的網(wǎng)絡(luò)里經(jīng)常會出現(xiàn)用戶私自設(shè)置IP 地址的問題，用戶私設(shè) IP 地址不但使網(wǎng)絡(luò)難以維護(hù)，并且會導(dǎo)致一些合法的使用 DHCP 獲取 IP 的用戶因?yàn)闆_突而無法正常使用網(wǎng)絡(luò)， DHCP Snooping通過窺探 Client 和 Server 之間交互的報(bào)文，把用戶獲取到的 IP信息以及用戶 MAC、VID、PORT、租約時(shí)間等信息組成一個用戶記錄表項(xiàng)，從而形成一個 DHCP Snooping 的用戶數(shù)據(jù)庫，配合 ARP檢測功能的使用，從而達(dá)到控制用戶上網(wǎng)的目的。

DHCP Snooping 就是通過對經(jīng)過設(shè)備的 DHCP 報(bào)文進(jìn)行合法性檢查，丟棄不合法的 DHCP 報(bào)文，并記錄用戶信息生成 DHCP Snooping 綁定數(shù)據(jù)庫供 ARP 檢測查詢使用。以下幾種類型的報(bào)文被認(rèn)為是非法的 DHCP 報(bào)文：

1. UNTRUST 口收到的 DHCP reply 報(bào)文，包括 DHCPACK、DHCPNACK、DHCPOFFER 等。

2. 打開 mac 校驗(yàn)時(shí)，源 MAC 與 DHCP 報(bào)文攜帶的 DHCP Client 字段值分別為不同的報(bào)文。

3. 用戶的信息存在于 DHCP Snooping 綁定數(shù)據(jù)庫中，但是端口信息與設(shè)備保存在DHCP綁定數(shù)據(jù)庫中的信息中的端口信息不一致的DHCPRELEASE報(bào)文。