DHCP監聽可以防範利用DHCP發起的多種攻擊行為,如DHCP中間人攻擊,僞造多台裝置耗盡位址池
DHCP監聽允許可信端口上的所有DHCP消息,但是卻過濾非可信端口上的DHCP消息,DHCP監聽還會在非可信端口上檢查DHCP用戶端消息
ip dhcp snooping vlan 為一個或多個vlan啟用DHCP監聽
ip dhcp snooping trust 在接口上啟用或禁用信任
ip dhcp snooping binding (mac) vlan (vlan-id)(ip)int(int-id)expiry (seconds) 向DHCP監聽綁定表添加靜态表項
ip dhcp snooping verify mac-address 檢查以太網幀的源MAC是否與DHCP請求中的用戶端ID相同 (防止耗盡ip池)
ip dhcp snooping limit rate (rate) 設定每秒允許的最大DHCP消息數(防止Dos攻擊)
可以使用接口子指令來啟用IP源保護特性,如果僅檢查ip源位址可使用ip verify source,如果同時檢查源ip和源mac,可以使用ip verify source port-security
例如在f0/1使用了ip verify source,可以show ip dhcp snooping binding,僅允許在這個dhcp綁定表中f0/1下綁定的ip位址的資料包通過
DHCP option82
當DHCP伺服器和用戶端不在同一個子網内時,用戶端要想從DHCP伺服器上配置設定到IP位址,就必須由DHCP中繼代理(DHCP Relay Agent)來轉發DHCP請求包。DHCP中繼代理将用戶端的DHCP封包轉發到DHCP伺服器之前,可以插入一些選項資訊,以便DHCP伺服器能更精确的得知用戶端的資訊,進而能更靈活的按相應的政策配置設定IP位址和其他參數。這個選項被稱為:DHCP relay agent information option(中繼代理資訊選項),選項号為82,故又稱為option 82,相關标準文檔為RFC3046。
Option 82是對DHCP選項的擴充應用。選項82隻是一種應用擴充,是否攜帶選項82并不會影響DHCP原有的應用。另外還要看DHCP伺服器是否支援選項82。不支援選項82的DHCP伺服器接收到插入了選項82的封包,或者支援選項82的DHCP伺服器接收到了沒有插入選項82的封包,這兩種情況都不會對原有的基本的DHCP服務造成影響。要想支援選項82帶來的擴充應用,則DHCP伺服器本身必須支援選項82以及收到的DHCP封包必須被插入選項82資訊。
從非信任端口收到DHCP請求封包,不管DHCP伺服器和用戶端是否處于同一子網,開啟了DHCP監聽功能的Cisco交換機都可以選擇是否對其插入選項82資訊。預設情況下,交換機将對從非信任端口接收到的DHCP請求封包插入選項82資訊。
DHCP監聽還有一個非常重要的作用就是建立一張DHCP監聽綁定表(DHCP Snooping Binding)。一旦一個連接配接在非信任端口的用戶端獲得一個合法的DHCP Offer,交換機就會自動在DHCP監聽綁定表裡添加一個綁定條目,内容包括了該非信任端口的用戶端IP位址、MAC位址、端口号、VLAN編号、租期等資訊。