防止私架DHCP服務器的好幫手：DHCP Snooping

DHCP (動態主機配置協議) 是一種簡化主機IP地址配置管理的TCP/IP標準。

該標準為DHCP服務器的使用提供了一種有效的方法：即管理網絡中客戶機IP地址的動態分配以及啟用網絡上DHCP客戶機的其它相關配置信息。

在基于TCP/IP協議的網絡中，每臺計算器都必須有唯一的IP地址才能訪問網絡上的資源，網絡中計算器之間的通信是通過IP地址來實現的，并且通過IP地址和子網掩碼來標識主計算器及其所連接的子網。在局域網中如果計算器的數量比較少，當然可以手動設置其IP地址，但是如果在計算器的數量較多并且劃分了多個子網的情況下，為計算器配置IP地址所涉及的管理員工作量和復雜性就會相當繁重，而且容易出錯，如在實際使用過程中，我們經常會遇到因IP地址沖突、網關或DNS服務器地址的設置錯誤導致無法訪問網絡、機器經常變動位置而不得不頻繁地更換IP地址等問題。

DHCP則很好地解決了上述的問題，通過在網絡上安裝和配置DHCP服務器，啟用了DHCP的客戶機可在每次啟動并加入網絡時，自動地獲得其上網所需的IP地址和相關的配置參數，從而減少了配置管理的時間。

然而，在網絡里，若有人私接IP分享器/寛頻分享器，這些分享器的DHCP服務器預設都是開啟的，以致于有些用戶取得不正確的IP地址，導致無法上網或存取公司數據。

中波動光全系列的管理型交換機支持DHCP監聽 (DHCP Snooping) 功能，可以有效杜絕未認證的DHCP服務器，讓取得IP錯誤地址的問題，永遠不會再發生！

DHCP監聽 (DHCP Snooping) 是一種通過建立DHCP監聽綁定數據庫(DHCP Snooping Binding Database)，過濾非信任的DHCP消息，從而保證網絡安全的特性。

DHCP監聽就像是非信任的主機和DHCP服務器之間的防火墻。

通過DHCP監聽來區分連接到末端客戶的非信任接口和連接到DHCP服務器或者其他交換機的受信任接口。

當DHCP監聽功能啟用后，交換機會監看DHCP的數據包，只允許指定的(已受信) 交換機的網口放行DHCP服務器的響應數據包，所以只會取得指定的(已受信) DHCP服務器響應的DHCP內容，任何來自不信任網口的DHCP數據包將會被丟棄，確保用戶取得的IP地址都是網由信任的/合法的DHCP服務器發送的；在收到合法響應后，DHCP服務器會記錄已完成的DHCP信息，其內容包含MAC地址、IP地址、租用時間等信息。

**值得注意的是，在下述情況中，DHCP數據包將同樣被丟棄：

1. 來自外網或者防火墻的DHCP服務器，包括DHCP_OFFER、DHCP_ACK、DHCP_NAK、DHCP_LEASE_QUERY。

2. 來自非信任端口，且目的MAC地址和DHCP客戶端的硬件地址不匹配。

3. 交換機收到DHCP_RELEASE或者DHCP_DECLINE的廣播信息，其MAC地址包含在DHCP 監聽綁定數據庫數據庫中，但與數據庫中的接口信息不匹配。

也就是說，如果DHCP服務器不是直接接在交換機上時，上行的網口就必須要允許DHCP服務器的響應數據包通過，不然整臺交換器上的用戶將無法得到IP地址。

**中波動光全系列管理型交換機：

DP310：工業用 8+2G 智能二層導軌型PoE交換機

DS310：工業 8+2G L2 智能網管以太網交換機

DS409：工業 9G L2 智能網管以太網交換機

MP310-HV：工業 7+3G L2 智能 M12 PoE交換機

MP614：強固型三層M12 PoE交換機

WR322G系列：工業物聯網強固LTE路由器

掃一掃 - 關注中波動光微信公眾號 『取得IIoT最新消息』

中波動光集團是跨國的公司，有20多年工業市場銷售的經驗。從工業計算機，數據擷取，有線與無線網絡通訊，與網絡監控，均有非常完整的解決方案。客戶遍及各垂直產業，包含電廠，智能交控，醫療，鐵道，公共工程與工廠自動化。