Ip dhcp snooping + ip arp inspection 的理解与应用
1.Ip arp inspection
Configuring Dynamic ARP Inspection in DHCP Environments
This example shows how to configure dynamic ARP inspection on Switch A in VLAN 1. You would perform a similar procedure on Switch B:
Switch(config)# ip arp inspection vlan 1
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ip arp inspection trust
其他不可信端口需根据由dhcp snooping 得来的mac与ip的映射表来判断ARP包是否合法。
Configuring ARP ACLs for Non-DHCP Environments
This example shows how to configure an ARP ACL called host2 on Switch A, to permit ARP packets from Host 2 (IP address 1.1.1.1 and MAC address 0001.0001.0001), to apply the ACL to VLAN 1, and to configure port 1 on Switch A as untrusted:
Switch(config)# arp access-list host2
Switch(config-arp-acl)# permit ip host 1.1.1.1 mac host 1.1.1
Switch(config-arp-acl)# exit
Switch(config)# ip arp inspection filter host2 vlan 1
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# no ip arp inspection trust//之前已配置了信任,现在是不信任
理解:port1是不可信端口、但是允许来自host2的ARP包通过不需要匹配Ip与MAC的映射表。是不是这张表是通过dhcp snooping获得的,而host2是静态配置不Ip,不用通过dhcp动态获取,所以表没有相关记录。不能依靠这个来检测ARP包。
2.ip dhcp snooping
可信端口可以发起所有DHCP消息,不可信端口只能发起请求消息。这个特性可以结合DHCP Option 82 使用,使用这个消息可以把DHCP请求的端口ID插入DHCP请求数据包中。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。