HCP服务器是企业内部网络中不可缺少的一个组件。当企业的终端主机数量比较多时，通过DHCP服务器来给客户端自动分配IP地址是一个不错的选择。不过由于企业忽视了DHCP服务器的安全性，为此给企业的内部网络安全造成了一定的隐患。举一个简单的例子。如下图所示，现在企业网络中有一个交换机和一台路由器。由于管理不善，有人在交换机上也启用了DHCP服务器。此时网络中就同时存在了两台DHCP服务器，就会造成冲突，从而导致网络故障。

      一、DHCP监听对DHCP服务器的重要性
      简单的说，DHCP监听是一种DHCP服务器的安全特性。通过这个监听技术，可以过滤来自网络中主机或者其他设备的非信任的DHCP报文。通过建立并维护DHCP监听邦定标，DHCP服务器就能够避免冲突。如上图所示，启用了监听技术之后，那么即使在交换机这个非信任的设备上启用了DHCP服务，其他客户端也会忽略它，不会像这台非信任的DHCP服务器去申请IP地址。
      DHCP监听最核心的特征就是将DHCP报文分为信任的DHCP报文和非信任的DHCP报文。要了解DHCP的工作机制，那么就需要对非信任的DHCP报文有一个深入的了解。简单的说，非信任DHCP报文是交换机从外部网路、防火墙或者其他未经授权的DHCP服务器接收到的DHCP报文。也可以理解为发出这个非信任DHCP报文的DHCP服务器是没有经过网络管理员授权的。
      二、DHCP监听在企业内部网络安全中的应用
      DHCP监听扩展了企业内部网络的现有安全功能。如可以将某个端口信任为DHCP服务器，并且避免来自非信任访问端口的非授权DHCP服务器响应。具体的来说，DHCP监听在企业内部网路安全中有如下几个重要的应用。
      1. DHCP监听技术能够与接口跟踪特性结合使用，来尽早发现一些安全的隐患。如交换机在运作中，会在DHCP报文中插入一个叫做82的选项。这个选项就是中级代理信息选项。在这个选项的帮助下，对于跨网络的DHCP服务器的安全也能够起到保护作用。
      2. 通过DHCP监听技术还可以防止DOS攻击。众所周知，Dos攻击会给企业的网络带来很大的打击。一旦发生这个Dos攻击，基本上企业的网络逃不掉瘫痪的命运。而如果采用DHCP监听的话，则能够有效的避免Dos攻击。这主要的功劳要归与DHCP监听中的报文限速功能。在这个功能中，通过合理配置许可的PPS，就可以起到避免Dos攻击的目的。
      3. DHCP监听可以防止DHCP服务器的恶意冲突。现在需要配置一个DHCP服务器难度并不是很大。即使没有专业背景的人只要看一下教程也能够在10分钟之内配置出一台DHCP服务器。由于没有多少硬件与软件的门槛，这就给DHCP服务器的安全带来很大的打击。如现在有一个员工，出于对企业公司的不满。就可以通过自己的电脑来配置一台DHCP服务器，从而造成企业网络的故障。这种破坏行为一般比较难找到。将DHCP监听特性应用于企业的网络，就可以有效的避免恶意的DHCP服务器冲突问题。
      三、DHCP监听绑定表的结构
      DHCP监听主要的是围绕监听绑定表来开展工作的。在这个DHCP绑定表中包含了客户端的IP地址、MAC地址、端口号、Vlan编号(如果有Vlan规划的话)、租用和绑定类型等相关的信息。为了顺利启用并维护DHCP监听，安全专员必须要对这个绑定表有着深刻的认识。因为在后续的维护、故障排除工作中，都是围绕着这个DHCP绑定表来进行的。具体的说，需要注意如下几个内容。
      1. 在安全虚拟局域网的应用中，DHCP监听如何开展工作。这里需要注意，通常情况下交换机会拦截第二层Vlan域中所有的DHCP报文。这也就是说，在启用选项82的情况下，在将DHCP请求转发给相应的DHCP服务器之前，SE会将入站模块、端口、Vlan和交换机MAC地址等信息增加到数据包中。如此的话，在安全虚拟局域网中，也可以支持DCHP监听特性。这也就是说，DHCP服务器能够跟踪DHCP地址池中所分配的所有地址，而不管企业中是否存在着Vlan的限制。当然这个前提是DHCP监听同接口跟踪特性一同使用。
      2. 配置自动丢弃非信任报文。通过DHCP监听特性，交换机能够实现限制终端用户端口只发送DCHP请求，并且会自动丢弃来自用户端口的所有其他DCHP报文，如提供响应报文等等。简单的说，就是客户端只能够从信任的(也就是网络管理员授权)DHCP服务器那边获取IP地址。非信任的DHCP服务器的提供响应报文会被自动丢弃掉。虽然非信任的DHCP服务器也会对用户的请求做出相应，但是会被启用了DHCP监听的交换机自动屏蔽掉。在这种情况下，客户端就只能够受到信任DHCP服务器的回复报文。
      3. 所使用的端口信息。任何一种报文都需要通过端口发送与接收。端口直接影响着DHCP监听的应用。通常情况下，DHCP监听信任端口是连接到已知DHCP服务器或者分布层交换机之间的上行链路端口。而信任端口就能够发送或者接收所有的DHCP报文。如此的话，交换机就只允许受信任的DHP服务器能够通过DHCP响应来分发DHCP地址。通过这个手段，就可以限制未经授权的DHCP服务器进入到企业的网络中。
      四、具体的配置以及注意事项
      通过上面的分析，我们知道DHCP监听的核心就是建立信任关系。简单的说，就是指明哪些端口是信任的，哪些端口是非信任的。然后接受并转发信任端口的DHCP报文，丢弃非信任端口的DHCP报文。为了实现这个目标，需要在交换机上做如下的配置。
      1. 需要在合法的DHCP服务器端口以及接入层交换机和分布层交换机之间的互连端口上启用信任。注意这一步非常的重要，否则的话其他客户端将无法收到响应报文。另外，最好再将接入交换机上的终端用户工作站端口设置为非信任的端口状态。如此的话，即使员工对公司有再大的不满，建立了一个DHCP服务器来破坏企业的网络，也无济于事。因为连接这台客户端的交换机会自动将其提供响应的报文丢弃掉。也就是说，企业网络根本不知道有这台DHCP服务器的存在。简单的说，就是启用信任端口(连接信任的DHCP服务器的端口以及接入层和分布层的交换机接口)、设置非信任端口(连接用户终端的端口)。
      2. 在有Vlan的情况下，需要在配置DHCP监听的时候，同时启用82选项。原因在上面的分析中已经谈过，这里就不做过多的重复。只是强调一点，安全专员需要深刻理解82选型在DHCP监听特性中的地位。如果需要在DHCP监听中启用82选项，可以采用如下命令来实现：ip dhcp snooping information option。
      3. 考虑是否需要启用请求限速机制。在DHCP监听技术中，还有一个报文限速的特性。这个特性能够有效的避免Dos攻击(具体的原理请看笔者上面的分析)。通常情况下，企业即使存在其他的Dos防护工具，如关闭Ping响应等等，不过笔者还是建议使用这个请求限速机制。因为根据经验，这确实是一个很不错的Dos攻击防护机制。而且即使启用这个特性，也不会带现在的网络性能带来不利的影响。如果需要启用这个报文限速机制的话，可以使用如下命令：IP Dhcp Snooping Limit Rate 80。