TG-NET揭秘豪华酒店上网难，到底谁之过

酒店、宿舍、办公场所，人员密集型的场所，常有上网者为了扩展接入终端，私接随身路由，由于这些小路由器自带DHCP功能，胡乱给内网其他终端分配地址，使其他终端不能正常获取到网络中真正的IP地址，从而导致无法上网；或者网络中有个别终端用的是window 2003、2008系统，这些系统默认开启了DHCP服务，从而也胡乱给内网其他终端分配地址，导致网络故障，这就是传说中的DHCP欺骗。

问题来了，该如何搞定？

那有没有技术能防止这类DHCP欺骗呢？或者说即使内网有多个DHCP服务器，也能是终端用户获取到真正的内网IP地址呢？答案是肯定的，交换机特色功能之“DHCP snooping”便是一剂“良方解药”！

DHCP snooping，即为DHCP窥探，在终端PC动态获取IP地址的过程中，通过对终端PC和DHCP服务器（可能是路由器、交换机或专门的DHCP服务器）之间的DHCP交互报文进行窥探，实现对用户的监控，同时DHCP Snooping起到一个DHCP报文过滤的功能，通过合理的配置实现对非法服务器的过滤，防止用户端获取到非法DHCP服务器提供的地址而无法上网。

注意事项：

在实际的网络施工中我们推荐在接入层交换机上面部署该功能，如S3500、P3000M系列交换机，因为越靠近终端PC端口，控制的越准确及时。而且每个交换机的端口推荐只连接一台终端PC，因为如果交换机某端口下串接一个普通交换机，再级联扩展若干PC的话，那么如果凑巧该普通交换机下发生DHCP欺骗，由于欺骗报文都在普通交换机端口间直接转发了，没有受到接入层交换机的DHCP snooping功能的控制，这样的欺骗就无法防止了。

DHCP snooping + IP Source Guard网络双剑客：

在DHCP环境的网络里经常会出现用户随意设置静态IP地址的问题，用户随意设置的IP地址不但使网络难以维护，而且会导致一些合法的使用DHCP获取IP的用户因为冲突而无法正常使用网络，DHCP Snooping通过窥探Client和Server之间交互的报文，把用户获取到的IP信息以及用户MAC地址信息、VLAN ID信息、端口信息等组成用户记录表项，再配合IP Source Guard进行端口绑定，防止用户随意设置IP地址、伪造IP地址进行内网扫描攻击，达到控制用户合法使用IP地址的目的。