dhcp snooping的作用是什麼？

DHCP Snooping的作用：1、與交換機DAI的配合，防止ARP病毒的傳播；2、通過建立信任埠和非信任埠，對非法DHCP伺服器進行隔離，信任埠正常轉發DHCP封包，非信任埠收到的伺服器響應做丟包處理，不進行轉發。

DHCP Snooping是 DHCP 的一種安全特性，主要應用在 交換機 上，作用是遮蔽接入網路中的非法的 DHCP 伺服器。即開啟 DHCP Snooping 功能後，網路中的使用者端只有從管理員指定的 DHCP 伺服器獲取 IP 地址。

由於 DHCP 報文缺少認證機制，如果網路中存在非法 DHCP 伺服器，管理員將無法保證使用者端從管理員指定的 DHCP伺服器獲取合法地址，客戶機有可能從非法 DHCP 伺服器獲得錯誤的 IP 地址等設定資訊，導致使用者端無法正常使用網路。

啟用 DHCP Snooping 功能後，必須將 交換機上的埠設定為信任(Trust)和非信任(Untrust)狀態，交換機 只轉發信任埠的 DHCP OFFER/ACK/NAK報文，丟棄非信任埠的 DHCP OFFER/ACK/NAK 報文，從而達到阻斷非法 DHCP 伺服器的目的。

建議將連線 DHCP 伺服器的埠設定為信任埠，其他埠設定為非信任埠。此外 DHCP Snooping 還會監聽經過本機的 DHCP 封包，提取其中的關鍵資訊並生成 DHCP Binding Table 記錄表，一條記錄包括 IP、MAC、租約時間、埠、VLAN、型別等資訊，結合 DAI(Dynamic ARP Inspection)和 IPSG(IP Source Guard)可實現ARP防欺騙和IP流量控制功能。

dhcp snooping的作用

1、dhcp-snooping的主要作用就是隔絕非法的dhcp server，通過設定非信任埠。

2、與交換機DAI的配合，防止ARP病毒的傳播。

3、建立和維護一張dhcp-snooping的繫結表，這張表一是通過dhcp ack包中的ip和mac地址生成的，二是可以手工指定。這張表是後續DAI（dynamic arp inspect）和IPSource Guard 基礎。這兩種類似的技術，是通過這張表來判定ip或者mac地址是否合法，來限制使用者連線到網路的。

4、通過建立信任埠和非信任埠，對非法DHCP伺服器進行隔離，信任埠正常轉發DHCP封包，非信任埠收到的伺服器響應的DHCP offer和DHCPACK後，做丟包處理，不進行轉發。

以上就是dhcp snooping的作用是什麼？的詳細內容，更多請關注TW511.COM其它相關文章！