通信网络（3）——DHCP Snooping

一、简介

前面一节介绍的DAI技术是基于DHCP Snooping绑定表的，因此本篇文章用于介绍何为DHCP Snooping，它是如何生成绑定表的

二、DHCP Snooping诞生背景

由于DHCP报文和ARP报文一样没有认证机制，因此和ARP报文一样，别人给我什么，我就用什么，因此黑客很容易伪造DHCP报文给设备错误的IP地址以及信息，因此交换机需要对收到的DHCP报文进行某种方式的验证，等验证通过之后才能发给DHCP客户端

三、DHCP Snooping原理

DHCP Snooping将交换机上的端口分为信任 （trusted)和非信任 （untrusted)两种类型。交换机只转发信任端口的 DHCP OFFER/ACK/NAK报文，丢弃非信任端口的 DHCP OFFER/ACK/NAK报文，从而达到阻断非法 DHCP 服务器的目的。 如果启动了DHCP Snooping，则DHCP服务器只能通过信任端口发送DHCP OFFER报文。 否则，报文将被丢弃

通过信任的端口会生成一个DHCP绑定表，大致内容如下