DHCP Snooping简介

说明：
设备只有位于 DHCP 客户端与 DHCP 服务器之间，或 DHCP 客户端与 DHCP 中继之间时， DHCPSnooping功能配置后才能正常工作；设备位于 DHCP服务器与 DHCP中继之间时，DHCP Snooping功能配置后不能正常工作。

DHCP Snooping 是 DHCP 的一种安全特性，具有如下功能：
(1) 保证客户端从合法的服务器获取 IP 地址。网络中如果存在私自架设的伪 DHCP 服务器，则可能导致 DHCP 客户端获取错误的 IP 地址和网络配置参数，无法正常通信。为了使 DHCP 客户端能通过合法的 DHCP 服务器获取 IP 地址， DHCPSnooping 安全机制允许将端口设置为信任端口和不信任端口：
信任端口正常转发接收到的 DHCP 报文。
不信任端口接收到 DHCP 服务器响应的 DHCP-ACK 和 DHCP-OFFER 报文后，丢弃该报文。
连接 DHCP 服务器和其他 DHCP Snooping 设备的端口需要设置为信任端口，其他端口设置为不信任端口，从而保证 DHCP 客户端只能从合法的 DHCP 服务器获取 IP 地址，私自架设的伪 DHCP 服务器无法为 DHCP 客户端分配 IP 地址。
(2) 记录 DHCP 客户端 IP 地址与 MAC 地址的对应关系。出于安全性的考虑，网络管理员可能需要记录用户上网时所用的 IP 地址，确认用户从 DHCP 服务器获取的 IP 地址和用户主机 MAC 地址的对应关系。 DHCP Snooping 可以实现该功能。
DHCP Snooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文，记录DHCPSnooping表项，其中包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。利用这些信息可以实现如ARP Detection等功能.