我們對于DHCP Snooping的學習也有了一段時間了。那么DHCP Snooping是DHCP處理安全問題的一道屏障。那么我們今天來看一下ARP以及DHCP Snooping的內容。

DHCP Snooping和ARP探測的關系

ARP 探測就是對經(jīng)過設備的所有 ARP 報文進行檢查， DHCP Snooping需要提供數(shù)據(jù)庫信息供 ARP 探測使用，在開啟 DAI 功能的設備上，當收到 ARP報文時，DAI 模塊就根據(jù)報文查詢 DHCP snooping的綁定數(shù)據(jù)庫，只有當收到得 ARP 報文得 mac、ip 和端口信息都匹配時才認為收到的 ARP 報文是合法的，才進行相關的學習和轉發(fā)操作，否則丟棄該報文。

DHCP Snooping配置的其他注意事項
 
DHCP Snooping功能與 1x的 DHCP Option 82 功能是互斥的，即不能同時使用

DHCP Snooping和 DHCP Option82

DHCP Snooping僅對用戶的DHCP過程進行窺探，若想控制用戶必須使用DHCP分配的 IP 上網(wǎng)， 則必須使用 ARP 探測功能，而 ARP 檢測模塊需要檢測所有 ARP報文，所以會對設備的整體性能產(chǎn)生影響，需要用戶注意。

配置打開和關閉DHCP Snooping

缺省情況下，設備的 DHCP Snooping 功能是關閉,當配置 ip dhcp snooping 命令后，設備就打開了 dhcp snooping 功能，開始對 dhcp報文進行監(jiān)控。

switch# configure terminal //進入配置模式   
switch(config)# [no] ip dhcp snooping DHCP snooping   //打開和關閉 

下邊是配置打開設備 DHCP snooping功能：

switch# configure terminal   
switch(config)# ip dhcp snooping   
switch(config)# end   
switch# 

配置DHCP源MAC檢查功能

配置此命令后，設備就會對 UNTRUST 口送上來的 DHCP Request 報文進行源MAC和 Client 字段的 MAC地址校驗檢查，丟棄 MAC值不相同的不合法的報文。默認不檢查。

switch# configure terminal //進入配置模式   
switch(config)# [no]ip dhcp snooping   
verify mac-address