DHCP 侦听技术介绍

DHCP Snooping（DHCP Filtering）技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

当交换机开启了 DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

—上文引自百度百科

NETGEAR智能网管交换机FS728TPv2、FS752TP、GS110TP/GS108Tv2、GS724Tv3/GS716Tv2、GS748Tv4和GS752TXS均支持此功能。在FS728TPv2、FS752TP、GS110TP/GS108Tv2、GS724Tv3/GS716Tv2和GS748Tv4上DHCP侦听功能为DHCP Filtering，在GS752TXS上为DHCP Snooping功能。

下面分别以FS752TP和GS752TXS为例说明此功能的详细配置。

一、网络拓扑图

设置环境

交换机型号：GS752TXS
FW：V5.0.2.20

实现目标

SRX5308下联到交换机的1号端口，局域网中所有PC均从SRX5308处自动获取IP地址上网，连接到交换机的其他局域网的电脑均无法获取IP地址。

二、DHCP Snooping/DHCP Filtering 功能配置

（一）、FS752TP 的 DHCP Filtering 配置

1. 启用全局DHCP Filtering功能
   登录交换机管理界面，进入System > Services > DHCP Filtering > Configuration菜单，将Admin Mode设置为Enable，点击右下角的APPLY保存配置。
   
2. 设置受信任端口
   进入System > Services > DHCP Filtering > Interface Configuration菜单，将连接DHCP服务器的端口配置为受信任模式，勾选e1端口，将Trust Mode设置为Enable，点击APPLY保存配置。
   

二、GS752TXS 的 DHCP Snooping

1. 启用全局DHCP Snooping模式及VLAN的DHCP Snooping模式
   登录交换机管理界面，进入System > Services > DHCP Snooping > Global Configuration菜单，将DHCP Snooping Mode设置为Enable，点击APPLY保存配置。
   在VLAN Configuration下启用VLAN的DHCP Snooping模式，这里交换机未启用三层功能，VLAN ID下输入1，将DHCP Snooping Mode设置为Enable，点击APPLY保存配置。如有多个VLAN，重复此步骤添加即可。
   
2. 设置 VLAN 中的受信任端口
   进入System > Services > DHCP Snooping > Global Configuration菜单，将连接DHCP服务器的端口配置为受信任模式，勾选1/g1端口，将Trust Mode设置为Enable，点击APPLY保存配置。
   
   通过上面的设置，仅当交换机从1号端口连接到SRX5308方能自动获取IP地址上网，否则无法自动获取到IP地址信息，从而达到防止非法接入的假冒DHCP服务器对LAN用户的影响的效果。