DHCP snooping

作用是屏蔽接入網絡中的非法的DHCP服務器。開啟DHCP Snooping功能後，網絡中的客戶端僅從管理員指定的DHCP服務器獲取IP地址。

由於DHCP報文缺少認證機制，如果網絡中存在非法DHCP服務器，管理員將無法保證客戶端從管理員指定的DHCP服務器獲取合法地址，客戶機有可能從非法DHCP服務器獲得錯誤的IP地址等配置信息，導致客戶端無法正常使用網絡。

啟用 DHCP Snooping 功能後，必須將交換機上的端口設置為信任（Trust）和非信任（Untrust）狀態，交換機只轉發信任端口的 DHCP OFFER/ACK/NAK報文，丟棄非信任端口的 DHCPOFFER/ACK/NAK 報文，從而達到阻斷非法DHCP服務器的目的。建議將連接DHCP服務器的端口設置為信任端口，其他端口設置為非信任端口。

此外，DHCP Snooping還會監聽經過本機的DHCP數據包，提取其中的關鍵信息並生成 DHCP Binding Table 記錄表，一條記錄包括IP、MAC地址、租約時間、端口、VLAN、類型等信息，結合DAI（Dynamic ARP Inspection）和IPSG（IP Source Guard）可實現ARP防欺騙和IP流量控制功能^[1]。