防止私架DHCP服务器的好帮手：DHCP Snooping

• 关键词：DHCP,物联网,动态主机配置协议
• 作者：中波动光
• 摘要：DHCP动态主机配置协议是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供有效方法：即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。可有效杜绝未认证的DHCP服务器，让取得IP错误地址的问题永远不再发生！

DHCP (动态主机配置协议) 是一种简化主机IP地址配置管理的TCP/IP标准。

该标准为DHCP服务器的使用提供了一种有效的方法：即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。

在基于TCP/IP协议的网络中，每台计算器都必须有唯一的IP地址才能访问网络上的资源，网络中计算器之间的通信是通过IP地址来实现的，并且通过IP地址和子网掩码来标识主计算器及其所连接的子网。在局域网中如果计算器的数量比较少，当然可以手动设置其IP地址，但是如果在计算器的数量较多并且划分了多个子网的情况下，为计算器配置IP地址所涉及的管理员工作量和复杂性就会相当繁重，而且容易出错，如在实际使用过程中，我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。

DHCP则很好地解决了上述的问题，通过在网络上安装和配置DHCP服务器，启用了DHCP的客户机可在每次启动并加入网络时，自动地获得其上网所需的IP地址和相关的配置参数，从而减少了配置管理的时间。

然而，在网络里，若有人私接IP分享器/寛频分享器，这些分享器的DHCP服务器预设都是开启的，以致于有些用户取得不正确的IP地址，导致无法上网或存取公司数据。

中波动光全系列的管理型交换机支持DHCP监听 (DHCP Snooping) 功能，可以有效杜绝未认证的DHCP服务器，让取得IP错误地址的问题，永远不会再发生！

DHCP监听 (DHCP Snooping) 是一种通过建立DHCP监听绑定数据库(DHCP Snooping Binding Database)，过滤非信任的DHCP消息，从而保证网络安全的特性。

DHCP监听就像是非信任的主机和DHCP服务器之间的防火墙。

通过DHCP监听来区分连接到末端客户的非信任接口和连接到DHCP服务器或者其他交换机的受信任接口。

当DHCP监听功能启用后，交换机会监看DHCP的数据包，只允许指定的(已受信) 交换机的网口放行DHCP服务器的响应数据包，所以只会取得指定的(已受信) DHCP服务器响应的DHCP内容，任何来自不信任网口的DHCP数据包将会被丢弃，确保用户取得的IP地址都是网由信任的/合法的DHCP服务器发送的；在收到合法响应后，DHCP服务器会记录已完成的DHCP信息，其内容包含MAC地址、IP地址、租用时间等信息。

**值得注意的是，在下述情况中，DHCP数据包将同样被丢弃：

1. 来自外网或者防火墙的DHCP服务器，包括DHCP_OFFER、DHCP_ACK、DHCP_NAK、DHCP_LEASE_QUERY。

2. 来自非信任端口，且目的MAC地址和DHCP客户端的硬件地址不匹配。

3. 交换机收到DHCP_RELEASE或者DHCP_DECLINE的广播信息，其MAC地址包含在DHCP 监听绑定数据库数据库中，但与数据库中的接口信息不匹配。

也就是说，如果DHCP服务器不是直接接在交换机上时，上行的网口就必须要允许DHCP服务器的响应数据包通过，不然整台交换器上的用户将无法得到IP地址。

**中波动光全系列管理型交换机：

DP310：工业用 8+2G 智能二层导轨型PoE交换机

DS310：工业 8+2G L2 智能网管以太网交换机

DS409：工业 9G L2 智能网管以太网交换机

MP310-HV：工业 7+3G L2 智能 M12 PoE交换机

MP614：强固型三层M12 PoE交换机

WR322G系列：工业物联网强固LTE路由器

扫一扫 - 关注中波动光微信公众号 『取得IIoT最新消息』

中波动光集团是跨国的公司，有20多年工业市场销售的经验。从工业计算机，数据撷取，有线与无线网络通讯，与网络监控，均有非常完整的解决方案。客户遍及各垂直产业，包含电厂，智能交控，医疗，铁道，公共工程与工厂自动化。