实验四: DAI
1.实验三的基础上做此实验
2.SW1上启用DAI, 并且把Fa0/23指定成Trust.清除R1的ARP表项.
3.在R1上ping10.10.1.4/10.10.1.3 观察现象,思考原因.
R1ping 10.10.1.4,首先发送ARP解析10.10.1.4的MAC.SW1收到之后ARPInspection通过(因为有DHCPSnooping表项).SW1会正常处理ARP,最终泛洪到R4.
R4回复ARPReply, SW1从Trust接口收到ARPReply.所以,R1ping 10.10.1.4是可以通的.
类似的,R1在ping10.10.1.3时,SW1的ARP检测通过,ARP会泛洪给R3.但是R3回复的ARPReply,由于SW1的DHCPsnooping表项中没有,并且又不是Trust接口,所以SW1直接drop.最终R1与R3不通.
4.在SW1上定义静态ARPaccess-list,使R1与R3可以通信
5.在SW1的Fa0/3接口做ARP限速,限制接口每秒最多接收5个ARP消息
完成之后,删除DAI的配置
继续上一个实验配置
SW1(config)#ip arp inspection vlan 10
SW1(config)#int f0/23
SW1(config-if)#ip arp inspection trust // R1ping R3不通;pingR4通
SW1(config)#arp access-list ARP-R3
SW1(config-arp-nacl)#permit ip host 10.10.1.3 mac host 000c.ce3a.b7e0
SW1(config)#ip arp inspection filter ARP-R3 vlan 10
SW1#sh ip arp inspection vlan 10
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration Operation ACL Match Static ACL
---- ------------- --------- --------- ----------
10 Enabled Active ARP-R3 No
Vlan ACL Logging DHCP Logging Probe Logging
---- ----------- ------------ -------------
10 Deny Deny Off // R1能ping R3
SW1(config)#int f0/3
SW1(config-if)#ip arp inspection limit rate 5
SW1#sh ip arp inspection int // 查看哪些接口trust
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
