dhcp snooping
2026-03-25DHCP Snooping 是部署在二层交换机上的核心 DHCP 安全机制,核心作用是拦截非法 DHCP 服务器、防止 DHCP 欺骗、生成 IP-MAC - 端口绑定表,是企业内网防私接路由、防中间人攻击的基础防线。
一、核心作用
防御非法 DHCP 服务器(Rogue DHCP)
阻止私接家用路由、误开热点、恶意设备冒充 DHCP 服务器,避免终端拿到错误网关 / DNS 导致断网或被劫持。
生成并维护 DHCP 绑定表(Binding Table)
记录:IP、MAC、VLAN、端口、租约时间。
为 DAI(动态 ARP 检测)、IPSG(IP 源防护) 提供合法性依据,实现 ARP 防欺骗、IP 流量控制。
报文校验与过滤
校验 DHCP 请求报文的源 MAC 与 CHADDR 字段一致性,防止伪造请求。
过滤畸形、恶意 DHCP 报文。
二、工作原理(信任端口机制)
1. 端口分类(核心)
信任端口(Trusted)
连接合法 DHCP 服务器 / 汇聚交换机的端口。
允许转发所有 DHCP 报文(Discover、Offer、Request、ACK 等)。
非信任端口(Untrusted)
连接普通终端 / 用户的端口(默认所有端口均为 Untrusted)。
只允许客户端请求报文(Discover/Request)通过;直接丢弃所有服务器响应报文(Offer/ACK/NAK)。
2. 工作流程(DORA 交互)
终端发 DHCP Discover → 交换机(Untrusted 口)放行 → 转发至 Trusted 口 → 合法服务器收到。
服务器回 DHCP Offer/ACK → 仅从 Trusted 口进入 → 交换机记录绑定表 → 转发给终端。
非法服务器从 Untrusted 口发 Offer/ACK → 交换机直接丢弃,不转发、不学习。
三、关键概念:DHCP 绑定表
动态生成:从信任端口收到的 DHCP ACK中提取信息生成。
表项内容:MAC地址 + IP地址 + VLAN ID + 端口号 + 租约到期时间。
用途:
定位 IP 对应的物理端口(排查 IP 冲突、私接设备)。
配合 DAI:仅允许绑定表内的 ARP 报文通过,防 ARP 欺骗。
配合 IPSG:仅允许绑定表内的 IP-MAC 组合通信,防 IP 伪造。
四、典型配置示例(华为 / H3C/Cisco 通用逻辑)
1. 全局启用 DHCP Snooping
plaintext
# 华为/H3C
dhcp snooping enable
dhcp snooping enable vlan 10 20 # 对指定VLAN生效
# Cisco
ip dhcp snooping
ip dhcp snooping vlan 10,20
2. 配置信任端口(连接 DHCP 服务器的端口)
plaintext
# 华为/H3C(G0/0/24为上联服务器口)
interface GigabitEthernet 0/0/24
dhcp snooping trust
# Cisco
interface GigabitEthernet0/1
ip dhcp snooping trust
3. (可选)启用绑定表与校验
plaintext
# 华为/H3C
dhcp snooping binding file flash:/dhcp-snooping.db # 绑定表持久化
dhcp snooping check mac-address # 开启源MAC校验
五、常见应用场景
企业内网:防员工私接家用路由器导致 IP 分配混乱。
校园 / 酒店网络:防止 DHCP 地址耗尽、IP 伪造、ARP 攻击。
数据中心:配合 DAI/IPSG 构建二层安全域,保障服务器 IP 合法性。
六、与相关技术配合
DAI(Dynamic ARP Inspection):基于 DHCP 绑定表验证 ARP 报文合法性,防 ARP 欺骗。
IPSG(IP Source Guard):基于绑定表过滤 IP 流量,仅允许合法 IP-MAC - 端口组合通信。
DHCP Relay:在跨 VLAN 场景中,信任端口需指向 DHCP 中继或服务器。
需要我给你整理一份华为 / H3C/Cisco的DHCP Snooping 完整配置速查表(含 VLAN 启用、信任端口、绑定表、MAC 校验、DAI/IPSG 联动)吗?
如何配置DHCP Snooping?
下面给你最常用、最实用的 DHCP Snooping 配置教程,覆盖 Cisco、华为、H3C 三大主流厂商,直接照着敲就能用。
一、通用配置思路(所有厂商都一样)
全局开启 DHCP Snooping
指定哪些 VLAN 启用
把上联到 DHCP 服务器 / 核心交换机的端口设为 Trusted(信任端口)
(可选)开启 MAC 地址校验、绑定表持久化
(可选)配合 DAI、IPSG 实现二层安全
二、Cisco IOS 配置(最常见)
1. 全局开启
plaintext
ip dhcp snooping
ip dhcp snooping vlan 10,20,30 # 对哪些VLAN生效
2. 配置信任端口(上联口)
plaintext
interface GigabitEthernet0/1
ip dhcp snooping trust
3. 可选:开启 MAC 校验
plaintext
ip dhcp snooping verify mac-address
4. 查看状态
plaintext
show ip dhcp snooping
show ip dhcp snooping binding
三、华为交换机配置
1. 全局开启
plaintext
dhcp snooping enable
dhcp snooping enable vlan 10 20 30
2. 配置信任端口
plaintext
interface GigabitEthernet 0/0/24
dhcp snooping trust
3. 可选:MAC 校验
plaintext
dhcp snooping check mac-address enable
4. 查看
plaintext
display dhcp snooping
display dhcp snooping binding
四、H3C 配置
1. 全局开启
plaintext
dhcp snooping enable
dhcp snooping enable vlan 10 20 30
2. 信任端口
plaintext
interface GigabitEthernet 1/0/24
dhcp snooping trust
3. 查看
plaintext
display dhcp snooping
display dhcp snooping binding
五、必懂的关键注意事项
默认所有端口都是非信任(Untrusted)
只有信任端口能转发 DHCP Offer/ACK
下联用户口千万不能设为信任,否则防不住私接路由
跨 VLAN 时,Trunk 口必须设为信任
DHCP Snooping 是 DAI、IPSG 的基础