我们对于DHCP Snooping的学习也有了一段时间了。那么DHCP Snooping是DHCP处理安全问题的一道屏障。那么我们今天来看一下ARP以及DHCP Snooping的内容。

DHCP Snooping和ARP探测的关系

ARP 探测就是对经过设备的所有 ARP 报文进行检查， DHCP Snooping需要提供数据库信息供 ARP 探测使用，在开启 DAI 功能的设备上，当收到 ARP报文时，DAI 模块就根据报文查询 DHCP snooping的绑定数据库，只有当收到得 ARP 报文得 mac、ip 和端口信息都匹配时才认为收到的 ARP 报文是合法的，才进行相关的学习和转发操作，否则丢弃该报文。

DHCP Snooping配置的其他注意事项
 
DHCP Snooping功能与 1x的 DHCP Option 82 功能是互斥的，即不能同时使用

DHCP Snooping和 DHCP Option82

DHCP Snooping仅对用户的DHCP过程进行窥探，若想控制用户必须使用DHCP分配的 IP 上网， 则必须使用 ARP 探测功能，而 ARP 检测模块需要检测所有 ARP报文，所以会对设备的整体性能产生影响，需要用户注意。

配置打开和关闭DHCP Snooping

缺省情况下，设备的 DHCP Snooping 功能是关闭,当配置 ip dhcp snooping 命令后，设备就打开了 dhcp snooping 功能，开始对 dhcp报文进行监控。

switch# configure terminal //进入配置模式   
switch(config)# [no] ip dhcp snooping DHCP snooping   //打开和关闭 

下边是配置打开设备 DHCP snooping功能：

switch# configure terminal   
switch(config)# ip dhcp snooping   
switch(config)# end   
switch# 

配置DHCP源MAC检查功能

配置此命令后，设备就会对 UNTRUST 口送上来的 DHCP Request 报文进行源MAC和 Client 字段的 MAC地址校验检查，丢弃 MAC值不相同的不合法的报文。默认不检查。

switch# configure terminal //进入配置模式   
switch(config)# [no]ip dhcp snooping   
verify mac-address  

　　推荐阅读

　　如何处理DHCP服务器问题

如果碰到一些DHCP服务器的问题，我们应该如何处理呢？相信很多人都觉得比较苦恼。不同的管理方式以及网络结构都是会让故障发生一些改变，从而排除和处理方法也不尽相同。今日上班，突然发现无法通过DHCP服务器自动获>>>详细阅读

本文标题：当ARP遇到DHCP Snooping

地址：http://www.17bianji.com/xieyi/4422.html

 1/2    1