我們對(duì)于DHCP Snooping的學(xué)習(xí)也有了一段時(shí)間了。那么DHCP Snooping是DHCP處理安全問(wèn)題的一道屏障。那么我們今天來(lái)看一下ARP以及DHCP Snooping的內(nèi)容。

DHCP Snooping和ARP探測(cè)的關(guān)系

ARP 探測(cè)就是對(duì)經(jīng)過(guò)設(shè)備的所有 ARP 報(bào)文進(jìn)行檢查， DHCP Snooping需要提供數(shù)據(jù)庫(kù)信息供 ARP 探測(cè)使用，在開(kāi)啟 DAI 功能的設(shè)備上，當(dāng)收到 ARP報(bào)文時(shí)，DAI 模塊就根據(jù)報(bào)文查詢 DHCP snooping的綁定數(shù)據(jù)庫(kù)，只有當(dāng)收到得 ARP 報(bào)文得 mac、ip 和端口信息都匹配時(shí)才認(rèn)為收到的 ARP 報(bào)文是合法的，才進(jìn)行相關(guān)的學(xué)習(xí)和轉(zhuǎn)發(fā)操作，否則丟棄該報(bào)文。

DHCP Snooping配置的其他注意事項(xiàng)
 
DHCP Snooping功能與 1x的 DHCP Option 82 功能是互斥的，即不能同時(shí)使用

DHCP Snooping和 DHCP Option82

DHCP Snooping僅對(duì)用戶的DHCP過(guò)程進(jìn)行窺探，若想控制用戶必須使用DHCP分配的 IP 上網(wǎng)， 則必須使用 ARP 探測(cè)功能，而 ARP 檢測(cè)模塊需要檢測(cè)所有 ARP報(bào)文，所以會(huì)對(duì)設(shè)備的整體性能產(chǎn)生影響，需要用戶注意。

配置打開(kāi)和關(guān)閉DHCP Snooping

缺省情況下，設(shè)備的 DHCP Snooping 功能是關(guān)閉,當(dāng)配置 ip dhcp snooping 命令后，設(shè)備就打開(kāi)了 dhcp snooping 功能，開(kāi)始對(duì) dhcp報(bào)文進(jìn)行監(jiān)控。

switch# configure terminal //進(jìn)入配置模式   
switch(config)# [no] ip dhcp snooping DHCP snooping   //打開(kāi)和關(guān)閉 

下邊是配置打開(kāi)設(shè)備 DHCP snooping功能：

switch# configure terminal   
switch(config)# ip dhcp snooping   
switch(config)# end   
switch# 

配置DHCP源MAC檢查功能

配置此命令后，設(shè)備就會(huì)對(duì) UNTRUST 口送上來(lái)的 DHCP Request 報(bào)文進(jìn)行源MAC和 Client 字段的 MAC地址校驗(yàn)檢查，丟棄 MAC值不相同的不合法的報(bào)文。默認(rèn)不檢查。

switch# configure terminal //進(jìn)入配置模式   
switch(config)# [no]ip dhcp snooping   
verify mac-address