今天首先给大家分享SAVI中的第一个关键技术——DHCPv6 Snooping

DHCP

要明白DHCP Snooping必须先明白DHCP是什么意思。其实DHCP很简单，我们每天都在接触。

DHCP全称叫动态主机配置协议，这个协议的作用就是可以让主机自动获取到IP地址和子网掩码，从而可以直接上网，而不需要我们先去配置IP和子网掩码再去上网。这个协议是不是大大方便了我们上网体验呢。

DHCP工作过程

当我们的电脑或其他主机链接上网时，会向DHCP服务器发出一个需要配置IP的请求，就仿佛说，“我要上网了，赶紧给我下发个入网证。”而DHCP服务器收到这个请求后，会回复这个请求发个报文，当你的主机收到这个报文就会有一个IP，但这时你还不能上网，你的主机会再发一个广播给网络里的其他主机看看是否有人也使用了这个IP地址，如果没有，主机会再给DHCP服务器一个消息，说这个IP其他人没人用，那我就用了，DHCP服务器收到你这条信息后就会记录下你使用的IP，这时你才算可以联通网络开始上网了。但如果有其他主机已经使用了这个IP，那只能重新发起之前的流程，直到获取到不重复的IP地址为止。以上获取IP地址的方式就是“有状态分布”。  

在获取整个IP地址时，大家可以看到中间没有任何管控，我们的IP地址可以很随意的被人获取替代。DHCPv6 Snooping就是为了解决在IPv6网络中相关安全隐患而生。

DHCPv6 Snooping

DHCPv6 Snooping主要解决以下两个问题：

1. 非法主机不断向DHCP服务器发起请求，消耗DHCPv6资源，甚至造成无IP地址可以分配的情况；

2. 私设DHCP服务器，造成主机获取到虚假的IPV6地址，影响业务转发或信息泄露。

原理

DHCPv6 Snooping开启以后，交换机会建立一张DHCPv6 Snooping绑定表并对DHCP报文进行侦听。当用户自动获取IPV6地址时，用户的IP地址，MAC，PORT都会绑定记录。只有完全匹配IP地址、MAC、PORT的IPv6报文和本地链路报文才允许转发。不符合的报文则会丢弃。

另外，DHCPv6 Snooping允许将某个端口设置为信任端口或不信任端口，信任端口可以正常接收并转发DHCP报文，而不信任端口将会接收到DHCP报文丢弃。

所以DHCPv6 Snooping能有效阻止在有状态获取IPV6地址时的IP仿冒的相关安全风险。

那在无状态获取IPv6地址时的安全隐患又该如何处理呢？这个我们下一期再继续分享。

未经授权，禁止转载。