# 1.DHCP Snooping
```bash
DHCP Snooping是一种网络安全技术,用于防止未经授权的设备在局域网中提供DHCP服务。DHCP(Dynamic Host Configuration Protocol)是一种用于自动分配IP地址和其他网络配置的协议。DHCP Snooping工作原理是通过监视网络中的DHCP消息,确定哪些设备是合法的DHCP服务器,并禁止其他设备提供DHCP服务。DHCP Snooping通常与其他网络安全功能如ARP防护、IP源地址验证等一起使用,以提高网络的安全性和稳定性。
DHCP Snooping的作用是防止网络中的恶意DHCP服务器攻击,以保护网络的安全及稳定性。
DHCP Snooping通过监听网络上的DHCP交互,记录下所有有效的DHCP服务器及其提供的IP地址与MAC地址的对应关系,并将这些信息存储到一个安全的DHCP绑定数据库中。当网络中的主机请求获取IP地址时,交换机会检查其报文中所带的DHCP信息,并与DHCP绑定数据库中的记录进行比对。如果报文中的DHCP服务器信息与数据库中的记录匹配,交换机会将报文转发给请求主机;如果报文中的DHCP服务器信息与数据库中的记录不匹配,交换机会将报文丢弃或转发给指定的端口,并标记其为不受信任的端口。
通过对DHCP交互进行监控和验证,DHCP Snooping可以有效地防止网络中的恶意DHCP服务器攻击,防止非授权的DHCP服务器分配IP地址,防止IP地址冲突和ARP欺骗等网络安全问题的发生。
```
# 2.实验拓扑图及命令
```bash
合法的DHCP服务器
<Huawei>sy
[Huawei]un in e //关闭信息中心功能,这样做配置的过程中,就不会再出现那种告警信息了
[Huawei]dhcp enable //开启DHCP功能
[Huawei]sys dhcp server //进一步配置DHCP相关参数
[dhcp server]int g0/0/0 //进入接口
[dhcp server-GigabitEthernet0/0/0]ip add 10.1.1.254 24 //给接口配置IP地址
[dhcp server-GigabitEthernet0/0/0]dhcp select interface //开启接口的DHCP功能
非法的DHCP服务器
<Huawei>sy
[Huawei]un in e //关闭信息中心功能,这样做配置的过程中,就不会再出现那种告警信息了
[Huawei]sys Attacker //命名Attacker
[Attacker]dhcp enable //开启DHCP功能
[Attacker]int g0/0/0 //进入接口
[Attacker-GigabitEthernet0/0/0]ip add 192.168.1.254 24 //给接口配置IP地址
[Attacker-GigabitEthernet0/0/0]dhcp select interface //开启接口的DHCP功能
LSW1
<Huawei>sy //进入全局模式
[Huawei]un in e //关闭信息中心功能,这样做配置的过程中,就不会再出现那种告警信息了
[Huawei]sys SW1 //命名SW1
[SW1]dhcp enable //开启DHCP功能
[SW1]dhcp snooping enable //开启DHCP snooping功能
[SW1]vlan 1 //创建vlan 1
[SW1-vlan1]dhcp snooping enable //开启DHCP snooping功能
[SW1-vlan1]dhcp snooping trusted interface g0/0/1 //将g0/0/1接口设为dhcp snooping信任接口
[SW1]int g0/0/3 //进入g0/0/3接口
[SW1-GigabitEthernet0/0/3]dhcp snooping max-user-number 1 //在G0/0/3口设置通过dhcp获取ip地址的最大数量为1
```
## 2.1实验测试
可以看到PC1在改变MAC地址后在查看IP地址是没有了的,这是因为在PC1和交换机的链接接口上配置了MAC地址表学习数量为1。
## 2.2总结
```bash
总的来说,DHCP Snooping是提升网络中DHCP服务安全性的重要技术手段之一。它通过监控和管理DHCP交互过程,确保只有经过验证的DHCP服务器才能为客户端分配IP地址,从而有效防止了多种针对DHCP的攻击行为。
```
