动态主机配置协议在局域网环境中有广泛的应用,其主要优点是服务器动态的分配IP地址给客户端。在动态主机配置协议运行的网络中,服务器是完全被动的,其动作行为只能由客户端的请求而激发,服务器无法主动控制客户端。因此服务器和客户端之间缺乏交互性和安全性,这就是动态主机配置协议的致命缺点。这些缺点导致非法服务器冒充,IP地址耗尽等安全问题。目前提出的解决方案有如下几种:MAC地址认证,LANA系统,检测非法服务器等,也有一些安全性较高但处理过程比较复杂的数据包认证方法。本文在现有的一些防火墙技术和MAC地址认证的基础上,提出一种新的过滤非法数据包的方法——DHCP窥探,是一种通过建立和维护DHCP窥探绑定表,过滤不可信任的DHCP报文,从而保证网络安全的技术。DHCP窥探处理模块对所有收到的DHCP数据报文进行过滤处理,丢弃不满足窥探安全规则的非法DHCP数据报文,正常转发合法的DHCP数据报文。DHCP协议位于计算机网络设备的第三层,而DHCP窥探位于第二层,所以DHCP窥探对DHCP协议本身及其实现没有影响。接受数据报文时,DHCP窥探处理模块捕获所有的DHCP报文,经过过滤处理后,上传给第三层的DHCP模块,处理完后下发到二层的DHCP窥探模块,DHCP窥探模块再转发到其他的交换机。DHCP窥探就像是非信任的主机和DHCP服务器之间的防火墙,客户端或者防火墙连接在非信任端口,DHCP服务器或者其他交换机连接在信任端口。我们在ZXR10系列交换机上实验,能达到IP网络安全的要求,易于实现,效率较高。