关于dhcp snooping 配置命令的补充说明,查阅了很多资料和实验,以及参考了网上朋友的理解,现对ip dhcp snooping information option提一些我的理解和看法.

ip dhcp snooping information option的作用是：设置交换机是否为非信任端口收到的dhcp报文插入Option 82,默认即为开启状态.

正如我上一篇文章提到的,交换机会在dhcp request报文中插入option 82字段,作为中继代理,支持option 82功能的dhcp服务器接收到报文后，根据报文中option 82信息分配IP地址和其它配置信息给客户端,dhcp中继代理收到服务器应答报文后，剥离其中的option 82选项并根据选项中的物理端口信息，把应答报文转交到网络接入设备的指定端口。

默认ip dhcp snooping information option是打开的,与这条命令相关的一条命令,ip dhcp snooping information option allow-untrusted,默认是关闭的,作用是设置汇聚层交换机将接收从untrusted端口收到的接入交换机发来的带有选项82的dhcp报文;

还有补充一点的就是IPSG有2种级别的IP流量安全过滤,源IP地址、源IP和MAC地址过滤;

在使用源IP和MAC地址过滤的时候必须启用dhcp snooping option 82.因为没有option 82的数据,交换机就不能确定客户端主机的端口,dhcp offer将被丢弃,客户就不能获得地址.命令 ip verify source vlan dhcp-snooping port-security以源IP和MAC地址过滤方式启动IPSG.交换机使用 port security来过滤源MAC地址. 当交换机只使用“IP源地址过滤”时，IP源防护功能与端口安全功能是相互独立的关系,端口安全是否开启对于IP源防护功能来说不是必须的.如果同时开启,则两者也只是一种宽松的合作关系,IP源防护防止IP地址欺骗,端口安全防止MAC地址欺骗,而当交换机使用“源IP和源MAC地址过滤”时,IP源防护功能与端口安全功能是就变成了一种"集成"关系,更确切的说是端口安全功能被集成到IP源防护功能里,作为IP源防护的一个必须的组成部分.