DHCP 侦听是一种确定哪些交换机端口可响应 DHCP 请求的 Cisco Catalyst 功能。 端口标识为可信和不可信。 可信端口可发送所有 DHCP 消息,包括 DHCP 提供和 DHCP 确认数据包;不可信端口只能发送请求。 可信端口担当 DHCP 服务器,也可作为通向 DHCP 服务器的上行链路。 如果不可信端口上的诈骗设备试图将 DHCP 提供数据包发送到网络,则该端口将关闭。 此功能可与将交换机信息(例如 DHCP 请求的端口 ID)插入 DHCP 请求数据包的 DHCP 选项相结合。

如图 1 和图 2 所示,不可信端口是指未明确配置为可信端口的端口。 系统将为不可信端口建立 DHCP 绑定表。 表中的每一个条目都包含在客户端发出 DHCP 请求时记录的客户端 MAC 地址、IP 地址、租用时间、绑定类型、VLAN 号以及端口 ID。 然后该表用于过滤后续的 DHCP 流量。 从 DHCP 侦听的角度来说,不可信访问端口不应发送任何 DHCP 服务器消息。

下面的步骤演示了如何在 Catalyst 2960 交换机上配置 DHCP 侦听:

第 1 步: 使用 ip dhcp snooping 全局配置模式命令启用 DHCP 侦听。

第 2 步: 使用 ip dhcp snooping vlan number 命令对特定 VLAN 启用 DHCP 侦听。

第 3 步: 使用 ip dhcp snooping trust 命令定义可信端口,从而在接口级别将端口定义为可信。

第 4 步: (可选)使用 ip dhcp snooping limit rate rate 命令限制攻击者通过不可信端口向 DHCP 服务器连续发送伪造 DHCP 请求的速率。