扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
Ip dhcp snooping + ip arp inspection 的理解与应用
成都创新互联公司专业提供成都主机托管四川主机托管成都服务器托管四川服务器托管,支持按月付款!我们的承诺:贵族品质、平民价格,机房位于中国电信/网通/移动机房,川西大数据中心服务有保障!
1.Ip arp inspection
Configuring Dynamic ARP Inspection in DHCP Environments
This example shows how to configure dynamic ARP inspection on Switch A in VLAN 1. You would perform a similar procedure on Switch B:
Switch(config)# ip arp inspection vlan 1
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ip arp inspection trust
其他不可信端口需根据由dhcp snooping 得来的mac与ip的映射表来判断ARP包是否合法。
Configuring ARP ACLs for Non-DHCP Environments
This example shows how to configure an ARP ACL calledhost2 on Switch A, to permit ARP packets from Host 2 (IP address 1.1.1.1 and MAC address 0001.0001.0001), to apply the ACL to VLAN 1, and to configure port 1 on Switch A as untrusted:
Switch(config)# arp access-list host2
Switch(config-arp-acl)# permit ip host 1.1.1.1 mac host 1.1.1
Switch(config-arp-acl)# exit
Switch(config)# ip arp inspection filter host2 vlan 1
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# no ip arp inspection trust//之前已配置了信任,现在是不信任
理解:port1是不可信端口、但是允许来自host2的ARP包通过不需要匹配Ip与MAC的映射表。是不是这张表是通过dhcp snooping获得的,而host2是静态配置不Ip,不用通过dhcp动态获取,所以表没有相关记录。不能依靠这个来检测ARP包。
2.ip dhcp snooping
可信端口可以发起所有DHCP消息,不可信端口只能发起请求消息。这个特性可以结合DHCP Option 82使用,使用这个消息可以把DHCP请求的端口ID插入DHCP请求数据包中。
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流