温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Ip dhcp snooping + ip arp inspection 的理解与应用

发布时间:2020-09-06 10:45:43 来源:网络 阅读:955 作者:mrgwy 栏目:安全技术

Ip dhcp snooping + ip arp inspection 的理解与应用

Ip dhcp snooping + ip arp inspection 的理解与应用

1.Ip  arp inspection

Configuring Dynamic ARP Inspection in DHCP Environments

This example shows how to configure dynamic ARP inspection on Switch A in VLAN 1. You would perform a similar procedure on Switch B:

Switch(config)# ip arp inspection vlan 1

Switch(config)# interface gigabitethernet 0/1

Switch(config-if)# ip arp inspection trust

其他不可信端口需根据由dhcp snooping 得来的macip的映射表来判断ARP包是否合法。

Configuring ARP ACLs for Non-DHCP Environments

This example shows how to configure an ARP ACL called host2 on Switch A, to permit ARP packets from Host 2 (IP address 1.1.1.1 and MAC address 0001.0001.0001), to apply the ACL to VLAN 1, and to configure port 1 on Switch A as untrusted:

Switch(config)# arp access-list host2

Switch(config-arp-acl)# permit ip host 1.1.1.1 mac host 1.1.1

Switch(config-arp-acl)# exit

Switch(config)# ip arp inspection filter host2 vlan 1

Switch(config)# interface gigabitethernet 0/1

Switch(config-if)# no ip arp inspection trust//之前已配置了信任,现在是不信任

理解:port1是不可信端口、但是允许来自host2ARP包通过不需要匹配IpMAC的映射表。是不是这张表是通过dhcp snooping获得的,而host2是静态配置不Ip,不用通过dhcp动态获取,所以表没有相关记录。不能依靠这个来检测ARP包。

2.ip dhcp snooping

可信端口可以发起所有DHCP消息,不可信端口只能发起请求消息。这个特性可以结合DHCP Option 82 使用,使用这个消息可以把DHCP请求的端口ID插入DHCP请求数据包中。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI