DHCP Snooping是什么？這個問題可能很多朋友不是很清楚。那么這里我們就來簡單講解一下這個問題吧。DHCP Pnooping就是 DHCP 窺探，通過對 Client 和服務(wù)器之間的 DHCP 交互報文進(jìn)行窺探，實現(xiàn)對用戶的監(jiān)控，同時 DHCP Snooping起到一個 DHCP 報文過濾的功能，通過合理的配置實現(xiàn)對非法服務(wù)器的過濾。

下邊對 DHCP Snooping內(nèi)使用到的一些術(shù)語及功能進(jìn)行一些解釋：

DHCP Snooping TRUST 口：由于 DHCP 獲取 IP的交互報文是使用廣播的形式，從而存在著非法服務(wù)器影響用戶正常 IP 的獲取，更有甚者通過非法服務(wù)器欺騙竊取用戶信息的現(xiàn)象，為了防止非法服務(wù)器的問題，DHCP nooping 把端口分為兩種類型， TRUST口和UNTRUST口，設(shè)備只轉(zhuǎn)發(fā)TRUST口收到的DHCP Reply報文，而丟棄所有來自UNTRUST口DHCP Reply報文，這樣我們把合法的DHCP Server 連接的端口設(shè)置為 TURST 口，其他口設(shè)置為 UNTRUST 口，就可以實現(xiàn)對非法 DHCP Server 的屏蔽。

DHCP Snooping綁定數(shù)據(jù)庫：

在 DHCP 環(huán)境的網(wǎng)絡(luò)里經(jīng)常會出現(xiàn)用戶私自設(shè)置IP 地址的問題，用戶私設(shè) IP 地址不但使網(wǎng)絡(luò)難以維護(hù)，并且會導(dǎo)致一些合法的使用 DHCP 獲取 IP 的用戶因為沖突而無法正常使用網(wǎng)絡(luò)， DHCP Snooping通過窺探 Client 和 Server 之間交互的報文，把用戶獲取到的 IP信息以及用戶 MAC、VID、PORT、租約時間等信息組成一個用戶記錄表項，從而形成一個 DHCP Snooping 的用戶數(shù)據(jù)庫，配合 ARP檢測功能的使用，從而達(dá)到控制用戶上網(wǎng)的目的。

通過以上內(nèi)容，我們對DHCP Snooping是什么，有了簡單的認(rèn)識，DHCP Snooping 就是通過對經(jīng)過設(shè)備的 DHCP 報文進(jìn)行合法性檢查，丟棄不合法的 DHCP 報文，并記錄用戶信息生成 DHCP Snooping 綁定數(shù)據(jù)庫供 ARP 檢測查詢使用。以下幾種類型的報文被認(rèn)為是非法的 DHCP 報文：

1. UNTRUST 口收到的 DHCP reply 報文，包括 DHCPACK、DHCPNACK、DHCPOFFER 等。

2. 打開 mac 校驗時，源 MAC 與 DHCP 報文攜帶的 DHCP Client 字段值分別為不同的報文。

3. 用戶的信息存在于 DHCP Snooping 綁定數(shù)據(jù)庫中，但是端口信息與設(shè)備保存在DHCP綁定數(shù)據(jù)庫中的信息中的端口信息不一致的DHCPRELEASE報文。

DHCP Snooping和ARP探測的關(guān)系

在了解了DHCP Snooping是什么，以及一些設(shè)備的內(nèi)容，我們再來談?wù)勊虯RP探測的關(guān)系。ARP 探測就是對經(jīng)過設(shè)備的所有 ARP 報文進(jìn)行檢查， DHCP Snooping需要提供數(shù)據(jù)庫信息供 ARP 探測使用，在開啟 DAI 功能的設(shè)備上，當(dāng)收到 ARP報文時，DAI 模塊就根據(jù)報文查詢 DHCP snooping的綁定數(shù)據(jù)庫，只有當(dāng)收到得 ARP 報文得 mac、ip 和端口信息都匹配時才認(rèn)為收到的 ARP 報文是合法的，才進(jìn)行相關(guān)的學(xué)習(xí)和轉(zhuǎn)發(fā)操作，否則丟棄該報文。