博达通信DHC管理原理.ppt

DHCP原理 课程内容 DHCP简介 DHCP原理 DHCP扩展介绍 实验与练习 本章小结 DHCP简介 为什么会有DHCP 所有基于TCP IP协议族实现的网络 其通信的一个重要基础就是IP地址 但对于大多数非专业的用户而言 IP地址是什么都不甚了解 要正确设置或者修改就更难了但用户主机需要访问网络时 其网卡的IP却又是必不可少的DHCP DynamicHostControlProtocol动态主机配置协议 就是用于简化主机IP地址设置的协议 通过DHCP 用户可以实现各项必要网络参数IP DNS Wins等的 零设置 做到 即插即用 DHCP简介 DHCP的设计目标DHCP设计的主要目标是使TCP IP网络的管理易于实现和维护 自动IP地址的分配和配置 用户无需手工配置所有IP地址资源都由服务器统一存放 控制 集中IP子网的管理对不使用的IP地址资源回收 提高利用率 DHCP简介 DHCP的优缺点可避免手工设置所产生的错误可避免多个用户使用相同IP地址而产生的冲突无需网络管理员干涉 减少网络管理工作量每个用户的IP地址是不固定的 随机性的 不利于管理和监控服务器故障可能会导致全网瘫痪 需要在网内做相应的冗余备份 网络组建成本增加 课程内容 DHCP简介 DHCP原理 DHCP扩展介绍 实验与练习 本章小结 DHCP原理 DHCP要解决的问题问题 DHCP目的是为了方便使用者 无需手工配置IP等相关信息 而DHCP又是一种基于IP运行的协议 在没有IP地址的情况下 DHCP又如何交互呢 我们先介绍一下BOOTP协议 即Bootstrap 它是DHCP协议的前身 在早期常使用在无盘工作站组建的网络中 DHCP原理 BOOTP报文介绍BOOTP协议承载在于OSI七层模型的传输层之上 使用UDP协议BOOTP客户端发起的报文 UDP 68 UDP 67BOOTP服务器发起的报文 UDP 67 UDP 68 DHCP原理 BOOTP报文介绍 续 DHCP原理 BOOTP报文介绍 续 主要字段解释 OP消息类型 1时表示BootRequest 2时表示BootReplyHtype和Hlen硬件地址类型和地址长度 实际上表示物理层网络的类型 一般为以太网 长度为6bytesHops跳数 通常为0 中继时会修改 一般不用 Xid会话id 随机数 用于确定Serv和Client的对应关系 DHCP原理 BOOTP报文介绍 续 主要字段解释 CiaddrClientIPAddr 客户端IP地址 由客户端在发送请求时填写 如果有的话 YiaddrYourIPAddr 客户端的IP地址 如果Ciaddr值为全0时 由服务器在Reply报文中填写SiaddrServerIPAddr 服务器IP地址 DHCP原理 BOOTP报文介绍 续 主要字段解释 GiaddrGatewayIPAddr 网关IP地址 通常只在BOOTP中继时才会用到ChaddrClientHardwareAddr 客户端硬件地址 通常在以太网中就是MAC地址 由客户端自己填写 DHCP原理 BOOTP报文介绍 续 主要字段解释 Sname客户端希望启动后使用的hostnamefilefile为空时 表示客户端只需要获得服务器分配的IP信息 或者由服务器来统一指定程序的加载 file可以填入指定的名字 unix gateway 用以控制启动时需要加载的程序 DHCP原理 BOOTP简要处理流程BOOTPRequet客户端发送请求前首先需要确定如下几个参数 Ciaddr 通常启动时没有IP 置为0 0 0 0Chaddr 本机网卡硬件地址 按实填写Yiaddr Siaddr Giaddr均设为0 0 0 0随机生成一个Xid值OP 1将上述关键信息填写并封装到UDP报文中 目的UDP端口号为67 源端口为68将UDP封装到IP报文中 其目的IP为全网广播 源地址为0 0 0 0 未知 待分配 DHCP原理 BOOTP简要处理流程 续 BOOTPReply服务器收到Request请求之后 进行判断 如果Client没有Ciaddr 且自己有可用IP 给对方分配一个 填入Yiaddr 如果没有IP资源 丢弃将Server自己的IP地址填入SiaddrXid值与Request中完全相等OP 2将上述关键信息填写并封装到UDP报文中 目的UDP端口号为68 源端口为67将UDP封装到IP报文中 单播给客户端 DHCP原理 BOOTP简要处理流程 续 细节BOOTP客户端如果不知道服务器IP 可以通过广播报文来发送 但服务器在发送Reply报文的时候 客户端却是没有IP地址的 怎么实现 有两种方法 1 虽然客户端没有IP 但服务器却知道Yiaddr和Chaddr两个关键地址 有了这些内容 服务器可以自己生成一个ARP信息 以实现IP报文的二层转发2 直接广播 DHCP原理 BOOTP简要处理流程ReplyReceived客户端收到Reply回应之后 会进行判断 Ciadr Chaddr Xid是否和自己发送时的值相等 如果不等 则丢弃如果上述匹配关系正确 则读取Yiaddr地址给网卡设置 并进行后续的引导文件 程序的传输 DHCP原理 BOOTP的缺点BOOTP协议过程非常的简单 中间缺乏必要的安全控制机制BOOTP给每个用户分配的IP地址是 永久 的 不利于IP地址资源的合理高效利用随着网络的逐步发展 BOOTP逐渐被DHCP所取代 DHCP原理 DHCP和BOOTP的关系BOOTP给客户端分配的IP地址是永久的 而DHCP分配的IP地址资源则具有时效性 是动态的 有利于提高IP资源的利用率DHCP和BOOTP使用相同的UDP协议报头 服务器端口67 客户端端口68 以至于很多程序对两者不做区分DHCP和BOOTP使用几乎完全相同的Request和Reply消息格式 只是DHCP的功能是依赖于报文的OPTION字段来进行实现的 BOOTP也有自己的 OPTION 字段 称之为Vend DHCPOption兼容BOOTPVend DHCP原理 DHCP报文介绍 DHCP原理 DHCP报文介绍 续 DHCP报文直接借用了BOOTP的报文格式 其中的核心内容是OPTIONDHCPOPTION格式每个Option都由Tag Len Data三大部分组成 1 Tag表示本Option的作用2 Len表明后续Data的长度 Tag 0 255的option比较特殊 没有对应Data 当然也不需要Len长度 3 Data内容作为Tag的补充详细说明 DHCP原理 DHCP报文介绍 续 DHCP常见OPTIONRequestedIPAddress DHCP客户端曾请求并使用过的IP地址 通常出现在请求报文中 Tag 50 Len 4 Data ip addr DHCP原理 DHCP报文介绍 续 DHCP常见OPTIONIPAddressLeaseTime 用户请求分配IP地址的使用时间 租约期 在DHCP客户端的请求报文和服务器的回应报文中都有 但以服务器分配为准Tag 51 Len 4 Data time DHCP原理 DHCP报文介绍 续 DHCP常见OPTIONDHCPMessageType DHCP协议交互的控制报文类型Tag 53 Len 1 Data 1 7 只用了3bit DHCP原理 DHCP报文介绍 续 DHCPMessageType是本文的一个重点 DataValue取值如下 Value 1 标示DHCPDiscoverValue 2 标示DHCPOfferValue 3 标示DHCPRequestValue 4 标示DHCPDeclineValue 5 标示DHCPACKValue 6 标示DHCPNAKValue 7 标示DHCPRelease DHCP原理 DHCP报文介绍 续 DHCP常见OPTIONServerIdentifier 服务器身份 通常在DHCP报文中指定与哪个服务器进行交互通信Tag 54 Len 4 Data ip adr DHCP原理 DHCP报文介绍 续 DHCP常见OPTIONParameterRequestList 请求参数列表 标示客户端需要服务器分配的内容Tag 55 Len n n 1 Data parameters其中 具体的参数内容使用代码来标示 如 1为子网掩码 6为DNS Server等等 有兴趣的可以查找rfc获得更详细的内容 DHCP原理 DHCP报文介绍 续 DHCP常见OPTIONClientidentifier 客户端身份识别 用以表示DHCP客户端的唯一身份 服务器据此查询数据库 唯一指定一个IP地址资源Tag 61 Len n n 2 Data hw addr类似的Option还有OP 12 客户端的Hostname 服务器也可以据此唯一绑定一个IP地址 DHCP原理 DHCP报文介绍 续 DHCP常见OPTIONEnd Tag 255时 是一个特殊的Option 表示所有的Options字段已经填充完毕 后面没有了 DHCP原理 DHCP的协议流程下面以DHCP客户端的角度来描述DHCP整个协议流程转换机制 DHCP原理 DHCP的协议流程 续 INIT客户机第一次启动之后 进入Init初始化状态 此时通过发送DHCPDiscover 用于探测和发现服务器 同时状态切换到Selecting状态该报文承载于UDP 67中 通过IP广播发送 DHCP原理 DHCP的协议流程 续 Discover报文常见参数构成 OP 1 BOOTRequestXid Random 由Client确定Ciaddr 0 0 0 0Yiaddr Siaddr Giaddr 0 0 0 0Chaddr ClientMACAddr DHCP原理 DHCP的协议流程 续 Discover报文常见Option构成 RequestedIPaddr MAYIPAddrLeaseTime MAYClientIentifier MAYServerIdentifier MustNOTParameterRequestList MAY DHCP原理 DHCP的协议流程 续 INIT由于该请求为广播形式 通常在发送时会设置一个随机的实验延迟 10秒 以避免各个DHCPClient同时发送广播报文 对局域网造成不必要的影响 DHCP原理 DHCP的协议流程 续 SELECTING服务器收到Discover报文后 查看自己的IPPool 如果IPPool有地址可用 则选取一个地址 分配到Yiaddr中 如果没有可用IP 则丢弃 该报文被封装到UDP 68中 通过IP广播给Clients DHCP原理 DHCP的协议流程 续 SELECTINGDHCPServ判断Discover报文接收端口的IP网段 然后从与之相同的DHCPIPPool中按顺序选取一个服务器同时还必须分配LeaseTime给用户 如果Discover请求的LeaseTime未指定 且Client还没有IP地址 则按照Server的默认设置分配如果请求的LeaseTime未指定 但Client已经获取了地址 则把该IPBinding的Leasetime值返回如果Discover指定了LeaseTime值 则无论Client是否已经有IP地址 Server可以选择在请求值和自己的默认LeaseTime中选取一个进行分配 DHCP原理 DHCP的协议流程 续 Offer报文常见参数构成 OP 2 BOOTReplyXid 由Client的Discover报文确定Ciaddr 0 0 0 0Yiaddr OfferedIPAddr 由Server确定Siaddr BOOTP DHCPServIPAddrGiaddr 由Discover报文确定Chaddr ClientMACAddr fromDiscover DHCP原理 DHCP的协议流程 续 Offer报文常见Opton构成 RequestedIPaddr MustNotIPAddrLeaseTime MustClientIentifier MustNotServerIdentifier MustParameterRequestList MustNot DHCP原理 DHCP的协议流程 续 REQUESTING在一个广播域中 客户端可能同时收到多个DHCPServ的Offer 如何选择呢 Client设置一个较短的收集时间段 在此期间可能收到的多个Offers 一般最先到达的Offer为优先 或者可以选择上次确定使用的Server Client可以根据需要来进行选择 并向该Serv发起后续请求报文 同时状态切换为Requesting DHCP原理 DHCP的协议流程 续 REQUESTINGClient选定一个最优的Offer以后 就会根据该Offer提供的OPTION来发起Request 正式请求这些资源以上内容被封装到UDP 68 67报文 通过IP广播发送到指定的Serv DHCP原理 DHCP的协议流程 续 Request报文常见参数构成 OP 1 BOOTRequestXid 根据Server的Offer报文确定Ciaddr 0 0 0 0Yiaddr Siaddr Giaddr 0 0 0 0Chaddr ClientMACAddr DHCP原理 DHCP的协议流程 续 Request报文常见Opton构成 RequestedIPaddr MustIPAddrLeaseTime MayClientIentifier MayServerIdentifier MustParameterRequestList May DHCP原理 DHCP的协议流程 续 BOUND服务器收到Request报文之后 会通过ACK报文给用户正式指派一个IP地址 并进行Binding操作 如果用户请求的IP地址非法 则回应NAK以上内容被封装到UDP 67 68报文 通过IP广播发送到指定的Client DHCP原理 DHCP的协议流程 续 ACK报文常见参数构成 OP 2 BOOTReplyXid 根据Client的Request报文确定Ciaddr 0 0 0 0或者与Request报文相同Yiaddr Server指定Siaddr BOOTP DHCPServIPAddrGiaddr 根据Request报文确定Chaddr ClientMACAddr DHCP原理 DHCP的协议流程 续 ACK报文常见Opton构成 RequestedIPaddr MustNotIPAddrLeaseTime MustClientIentifier MustServerIdentifier MustParameterRequestList MustNot DHCP原理 DHCP的协议流程 续 最后客户端收到ACK报文之后 从中提取相关的IPAddr LeaseTime Router DNS等信息 并自动设置到自己的网卡中DHCP基本流程就此结束 用户可以进行后续的网络访问和操作当然 Client如果发现ACK报文异常 可以使用Decline报文进行拒绝 此时状态将回到初始INIT注意 DHCPServ在正式ACK之前 通常需要通过Ping或者ARP报文来探测一下所分配的IP地址是否被其他主机占用 DHCP原理 DHCP实例 课程内容 DHCP简介 DHCP原理 DHCP扩展介绍 实验与练习 本章小结 DHCP扩展介绍 DHCP的扩展介绍DHCP的定时器DHCP的REBOOTDHCP的释放DHCP中继DHCP Snooping DHCP扩展介绍 DHCP定时器DHCP定时器BOOTP协议中 服务器为客户主机分配完IP地址等之后 该地址将被 永久 使用 但这显然不利于有限IP资源的高效利用 所以DHCP在设计中引入了LeaseTime这个租约的概念 并围绕它设置了多个定时器 以确保IP地址资源都分配给了活动的主机 不活动主机的IP地址资源将被回收再利用LeaseTime初始值通常由DHCPServ统一指定 DHCP扩展介绍 DHCP定时器 续 T1定时器DHCP客户主机首先需要维护一个T1定时器 它通常是LeaseTime的一半当客户端收到服务器分配地址的T1时间之后 将自动进入Renewing状态 重新向DHCPServ发送Request报文 用以请求 续订原IP地址的租约时间注意该IP报文是单播给原DHCP服务器的 DHCP扩展介绍 DHCP定时器 续 与正常Request报文的差异相对于正常DHCP流程 Renewing状态中发起的Request报文 主要有如下几个差异 Ciaddr ClientIPaddrServerIdentifier MustNot服务器收到Renewing的Request报文之后 如果判定该IP地址还有效 会回应ACK报文 其中包含了一个新的LeaseTime值 DHCP扩展介绍 DHCP定时器 续 客户端收到DHCPACK之后 提取其中的LeaseTime 更新自己的定时器 同时其状态返回BOUND 如果客户端没有收到ACK报文 则继续等待 在后续的时间段中 每到剩余时间的一半时 就会重新发送RenewingRequest报文 即分别在1 2 3 4 7 8等时发送 但两个发送的最小时间间隔不会小于一分钟如果客户端在7 8租约期时的请求还没有回应 则状态自动切换到Rebinding DHCP扩展介绍 DHCP定时器 续 T2定时器T2定时器就是租约期的 显然如果如果客户端的T1Renewing更新正常的话 DHCP是不会等到T2定时器到来并进入Rebinding状态的 只有Renewing更新不正常时 Client的才会在T2时刻进入Rebinding 并发送Request报文来续订原IP地址的租约 DHCP扩展介绍 DHCP定时器 续 Rebinding状态中的Request报文Rebinding状态中的Request报文 上层格式和参数方面 几乎完全相同 需要注意 Ciaddr ClientIPaddrServerIdentifier MustNot但该Request报文不再通过单播来发送 而是通过广播 DHCP扩展介绍 DHCP定时器 续 客户端在T2时刻进入Rebinding状态后 如果发送的Request广播没有任何回应 会跟Renewing状态相似 每当剩余租约时间减半的时候 将重新发送续约请求 当然最小时间间隔 60秒如果有服务器返回ACK 即续约成功 客户端将复位自己的租约时间并重新进入到BOUND状态如果在LeaseTime完全到期之前 服务器都没有回应 Client将重新返回INIT初始状态 开始新一轮的DHCP请求 DHCP扩展介绍 DHCP的REBOOTREBOOT用户通过DHCP获取的IP地址虽然是 动态 的 但一般情况下为了方便日常使用 同一台主机在不同时刻请求到的IP地址尽量保持不变 用户通常缓冲上次获取的IP地址等信息 这种情况下 它在请求时 就直接通过广播发送Request报文 当然其中包含了原有的IP地址等信息 DHCP扩展介绍 DHCP的REBOOT 续 服务器收到这种指定IP地址 RequestedIPAddr 的Request报文 会查看自己的Binding数据库 如果有匹配的条目且没有超过LeaseTime 就直接通过ACK报文来分配地址 否则发送NAK 客户端收到NAK 或者在有限时间内没有收到服务器ACK报文之后 状态将切换会初始的INIT状态 DHCP扩展介绍 DHCP的释放DHCP的Release如果用户离开 不再需要原有分配的IP信息时 可以通过发送Release报文给DHCPServer 这样可以让Serv端尽快的释放IP资源 而不必等到LeaseTime的结束Release报文的发送 是不期待服务器有回应的 DHCP扩展介绍 DHCP的释放 续 Release报文常见参数构成 OP 1 BOOTRequestXid 由客户端确定Ciaddr ClientIPAddrYiaddr Siaddr Giaddr 0 0 0 0Chaddr ClientMACAddr DHCP扩展介绍 DHCP的释放 续 Release报文常见Opton构成 RequestedIPaddr MustIPAddrLeaseTime MustNotClientIentifier MayServerIdentifier MustParameterRequestList MustNot DHCP扩展介绍 DHCP的中继DHCP Relay正常情况下 DHCPClient和Serv属于同一个广播域 也就是说Client发送的Discover广播能够找到Serv 只有这样 后续的Offer Req ACK等报文才有可能出现 但如果在多VLAN环境中 Serv和Client处于不同的广播域 情况又如何呢 这就需要开启DHCP Relay功能关键 解决三层设备默认不转发广播报文的问题 DHCP扩展介绍 DHCP的中继 续 DHCP Relay原理很简单 Relay设备在收到DHCP相关报文之后 如果自己本地没有DHCPd服务 就将原报文通过IP单播送到指定的DHCPd服务器上进行处理从而 Client和Server之间可以间接的进行通讯 DHCP扩展介绍 DHCP的中继 续 Option 82Relay在将DHCP报文转发到Serv的过程中 需要添加一个Option 82选项 即RelayAgentInfoOption 该Option比较特殊 它处于255 End 之前 所有其他Option之后 Option82又可包括若干sub option 至少包含一个 其中常见的为sub option1 sub option2 sub option5 DHCP扩展介绍 DHCP的中继 续 Sub option1CircuitID 通常在Relay设备上配置 用于描述Client连接交换机的对应VLAN Port等信息Sub option2RemoteID 也在Relay设备上面配置 用于描述中继设备的MAC地址信息Sub option5LinkSelection 用于在Option82中添加Relay设备的IP地址 Server将会根据这个IP地址分配同网段的IP地址资源给Client DHCP扩展介绍 DHCP SnoopingDHCP snooping这个功能与DHCP本身并没有太多的关联 这是一种借助DHCP应用而存在的解决 防止ARP欺骗的技术手段在预防ARP欺骗时 可以使用静态ARP绑定 这种方法虽然很高效 但实际维护起来工作量很大 DHCP Snooping就是一种借助于DHCP协议 来方便 自动的预防ARP欺骗的详细内容请参阅 局域网问题之ARP篇 解决方案 DHCP SnoopingDHCP Snooping相比于静态ARP Port Security的Bind Block功能已经进了一步 可以完全在交换机上进行操作 并达到预防ARP欺骗的目的 但操作起来还是非常麻烦 尤其是需要维护大量的IP和MAC对应关系DHCP Snooping的就是在实现Port Security功能的前提下 不需要人工去收集和维护IP MAC对应关系 该功能可分为DHCPd和DHCP Relay两部分很明显DHCP snooping依存于DHCP而存在 解决方案 DHCP Snooping 续 DHCPdSnoopingDHCPd snooping的原理比较简单 根据DHCP协议的原理 服务器在给客户端的最后一个报文DHCPReply中 是包含有对方的IP信息和MAC的 且两者都是正确的信息 DHCP过程中的这组对应关系恰恰就是 绑定 所需要而人工收集很麻烦的 能不能通过软件来自动处理并利用起来呢 答案是肯定的 解决方案 DHCP Snooping 续 命令语法ipdhcpdsnoopingarp该功能需要配置在开启了DHCPd功能的BDCOM路由器或者三层交换机上 DHCPd每次给客户端分配完地址之后 自动将对方的ARP信息写成静态的条目 解决方案 DHCP Snooping 续 注意 1 DHCPd snooping不需要再额外配置Port Security功能2 只能预防网关设备 DHCPd的ARP被欺骗 而客户端的需要另外的手段来防护 想想为什么 解决方案 DHCP Snooping 续 DHCP RelaySnoopingDHCP Relaysnooping实现的原理与DHCPdsnooping完全一致 只是在局域网交换机上收集这些IP MAC对应关系 并选择进行 绑定 通过在交换机端口上的绑定 可以实现客户端PC的ARP免受欺骗 同时也防止客户端PC去欺骗其他主机 网关的ARP信息 在这一点上 其功能和Port Securitybind非常相似 解决方案 DHCP Snooping 续 DHCP Relay与DHCP Relaysnooping注意 DHCP Relay与DHCP Relaysnooping 两者完全没有任何直接的关联 前者是用于解决DHCP的服务器和客户端不在同一广播域中而产生的技术 请参阅DHCP章节的内容 后者只是用于区分DHCPd Snooping而给了一个别的称谓 多数情况下 我们直接把DHCP RelaySnooping简称为DHCPsnooping 这是本节的核心内容 解决方案 DHCP Snooping 续 DHCPsnooping命令ipdhcp relaysnooping 软件开关 使能DHCPsnooping功能ipdhcp relaysnoopingvlan 指定在某个 某些VLAN中生效ipdhcp relaysnoopingdb file 将绑定关系写入到Flash种的指定文件ipdhcp relaysnoopingdatabase agent 将绑定关系备份到外部服务器中 TFTP协议 ipdhcp relaysnoopingwrite time 设定绑定关系更新 写入文件的时间间隔 解决方案 DHCP Snooping 续 以上命令仅作用于DHCP流程中的各个报文 对于ARP 其他IP报文则没有影响同时 从DHCP协议交互过程中 提取必要的正确的IP MAC对应关系 通常这些信息都是关于Client的思考 DHCPsnooping中的MAC和IP地址信息分别来自于DHCP交互过程中的哪个报文 解决方案 DHCP Snooping 续 信任端口dhcpsnoopingtrust该命令可以将交换机端口设置为信任 非信任端口交换机收到Serv端的DHCP报文 如果是从信任端口接收 则正常处理 如果是从非信任端口接收 则直接丢弃交换机收到Client端的DHCP报文 如果是从信任端口接收 则正常处理 如果是从非信任端口接收 则需要比对其MAC地址是否符合对应关系 如果有 符合则正常处理 不符合则丢置 解决方案 DHCP Snooping 续 显然 只有连接在信任端口上的DHCPServ才能正常工作 如果接在非信任端口上 Serv是无法工作的PC DHCPclient 无论连接到信任 非信任端口 都可以正常工作 交换机都会进行收集其IP MAC地址对应关系 Client连接在信任端口时 DHCP报文正常处理 但如果连接在非信任端口 交换机需要检查其源MAC地址 即其以太网帧的源MAC与DHCPpayload中的ClientMAC地址是否相等 若相等 正常处理 若不等 判为DHCP欺骗 丢弃 解决方案 DHCP Snooping 续 DHCPsnooping调用DHCPsnooping从DHCP协议交互过程中获取的IP MAC对应关系 在不做更多操作的情况下 只会对DHCP报文产生影响 但对ARP IP等比较敏感的报文则不起任何作用只有经过相应的调用之后才会起到过滤作用 并以此可以实现ARP欺骗的预防 安全绑定等效果 解决方案 DHCP Snooping 续 针对ARP报文开启ARPinspection后 交换机会判断接收的ARP报文 如果是从trust端口 则默认允许 如果是非信任端口接收的 那么必须先匹配DHCPsnooping手机的IP MAC对应关系 只有匹配的ARP报文才会放行iparpinspectionvlan 全局开启ARPinspection功能arpinspectiontrust 指定ARP报文的信任端口 解决方案 DHCP Snooping 续 针对IP报文开启IPVerifySource后 交换机会判断接收的IP报文 如果是从trust端口 则默认允许 如果是非信任端口接收的 那么必须先匹配DHCPsnooping手机的IP MAC对应关系 只有匹配的ARP报文才会放行ip