1

DHCP 的 Snooping 特性是他的一种安全特性，使用了这个特性后，可以达到什么样的效果呢？慢慢讲来。

使用了这个特性后， DHCP 服务器后就会在分配 IP 地址的时候，把那些分配出去的 IP 地址和对应的客户机的 MAC 地址都记录在一个 binding 数据库中，下面的客户机发送消息的时候，都得检查数据包的源 IP 地址和 MAC 地址，是不是和这个数据库中的相关条目是一样的，如果就通过，如果不是，就直接 DROP 掉。在使用这个特性的时候，其中牵涉到信任端口和非信任端口。对于非信任端口，只接受 DHCP 请求包，不接受 DHCP 的一切非请求包。所以使用了这个特性，我们就可以避免 DHCP 服务器的冒充，我们把连接 DHCP 服务器的端口和连接设备的上联接口都配置成信任接口。在 access mode 下的接口，我们都设置成非信任接口，这样的话，即使下面连接的设备不小心开启了 DHCP 服务，也不会相应自己接收到的 DHCP 请求包，这样一来，就可以限制 DHCP 服务器的冒充。这个时候，还可以在某程度上限制用户私自修改 IP 地址而导致的 IP 地址冲突。因为你如果想修改的话， IP 地址和 MAC 地址的对应关系就和 DHCP 服务器的绑定表中不一样了，就会被丢弃。但是，如果要 IP 地址和 MAC 都同时修改对了的话，就可以顺利通过了。