前面一节介绍的DAI技术是基于DHCP Snooping绑定表的,因此本篇文章用于介绍何为DHCP Snooping,它是如何生成绑定表的
由于DHCP报文和ARP报文一样没有认证机制,因此和ARP报文一样,别人给我什么,我就用什么,因此黑客很容易伪造DHCP报文给设备错误的IP地址以及信息,因此交换机需要对收到的DHCP报文进行某种方式的验证,等验证通过之后才能发给DHCP客户端
DHCP Snooping将交换机上的端口分为信任 (trusted)和非信任 (untrusted)两种类型。交换机只转发信任端口的 DHCP OFFER/ACK/NAK报文,丢弃非信任端口的 DHCP OFFER/ACK/NAK报文,从而达到阻断非法 DHCP 服务器的目的。 如果启动了DHCP Snooping,则DHCP服务器只能通过信任端口发送DHCP OFFER报文。 否则,报文将被丢弃
通过信任的端口会生成一个DHCP绑定表,大致内容如下