DHCP Snooping就是DHCP窥探，通过监听DHCP客户端和DHCP服务器之间交互的DHCP报文，记录用户的IP地址、MAC地址、端口、VLAN的绑定关系，同时DHCP Snooping可以对非法DHCP服务器发送的DHCP报文进行过滤。

下边我们介绍DHCP Snooping的基本功能。

DHCP Snooping有两种功能：信任功能和基本监听功能。

1> 信任功能：

DHCP Snooping信任功能允许将端口分为信任端口和非信任端口：信任端口正常转发接收到的 DHCP应答报文。非信任端口在接收到DHCP服务器响应的DHCP Ack、DHCP Nak、DHCP Offer报文后，丢弃该报文。

在交换机上配置DHCP Snooping之后，交换机能检测接口进来的DHCP 服务器发送的报文。将连接授权DHCP服务器的接口配置为信任端口，其他端口配置为非信任端口。可以让交换机只接收授权DHCP 服务器发送的报文。

通过DHCP Snooping，可以避免非授权DHCP 服务器接入网络并为网络中的终端分配IP地址，引起网络访问故障。

2> 基本监听功能：

开启DHCP Snooping功能后，设备能够通过监听DHCP请求报文和回应报文，生成DHCP Snooping 绑定表，绑定表项包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。

像IP Source Guard功能、DAI功能在工作时都需要用到DHCP Snooping绑定表。

如果一台PC先获取IP，然后再在交换机上配置DHCP Snooping。那么DHCP Snooping  就不能保证这台PC 获得的IP地址是从授权DHCP SERVER 获取的，同时不会形成DHCP Snooping绑定表。如果在交换机上配置了IPSG、DAI 功能的话，交换机将丢弃这台PC发送的报文。