DHCP 스누핑은 서버 응답을 Trusted 포트에서만 허용한다

클라이언트의 Discover는 통과시키되, 가짜 서버의 Offer는 Untrusted 포트에서 차단합니다.

정상 DHCP 서버

Trusted portOffer / Ack 허용
할당 정보가 바인딩 테이블에 기록됨

Switch 검사 지점

서버성 DHCP 메시지는 들어온 포트의 신뢰 상태를 먼저 본다.
IP, MAC, 포트, VLAN 정보를 바인딩으로 남긴다.

가짜 DHCP 서버

Untrusted portOffer / Ack 차단
가짜 게이트웨이와 DNS 배포를 막음
IP
192.168.10.21
MAC
00:16:3e:12:45:10
Port
Gi0/3
IP
192.168.10.22
MAC
00:16:3e:12:45:11
Port
Gi0/4

연결: 이 바인딩 테이블은 DAI가 ARP 패킷을 검증할 때도 기준 데이터가 된다.