15-動態ARP檢測:DAI //IOU設備模擬
阿新 • • 發佈:2018-07-06
res trunk src %s arp 端口 數據庫 proc vlan 一、實驗拓撲:
二、實驗要求:
要想啟用動態ARP檢測,前提是啟用了DHCP Snooping,DHCP檢測完以後回產生一個數據庫;比如連接電腦的一個端口啟用2種檢測後,有VLAN ID、0/1接口、MAC地址的映射,此時再該接口收到一股報文,接口的源MAC地址和之前綁定的信息不相同,就會丟棄該報文。這叫非信任接口,它一定要檢測源MAC地址,其實不僅僅檢測MAC地址,還要檢測IP地址。
三、命令部署:
1、所有交換機下配置:
SW1(config)#ip arp inspection vlan 10
SW2(config)#ip arp inspection vlan 10
SW1(config-if-range)#ip arp inspection trust
二、實驗要求:
要想啟用動態ARP檢測,前提是啟用了DHCP Snooping,DHCP檢測完以後回產生一個數據庫;比如連接電腦的一個端口啟用2種檢測後,有VLAN ID、0/1接口、MAC地址的映射,此時再該接口收到一股報文,接口的源MAC地址和之前綁定的信息不相同,就會丟棄該報文。這叫非信任接口,它一定要檢測源MAC地址,其實不僅僅檢測MAC地址,還要檢測IP地址。
三、命令部署:
1、所有交換機下配置:
SW1(config)#ip arp inspection vlan 10
SW2(config)#ip arp inspection vlan 10
2、Trunk中繼鏈路接口、DHCP服務器R1接口開啟ARP inspection trust
SW1(config-if-range)#ip arp inspection trust
SW2(config)#int e0/0
SW2(config-if)#ip arp inspection trust
3、修改PC1的MAC地址:
PC1(config)#int e0/0
PC1(config-if)#mac-address aabb.cc00.0201
四、驗證:
1、PC1上PingR1:可以Ping通
PC1#ping 100.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.1, timeout is 2 seconds:!!!!!
2、修改PC1的MAC地址後再去Ping R1:失敗
PC1#ping 100.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
而且SW2還會報錯:
SW2(config-if)#
*May 25 10:15:54.306: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Et0/1, vlan 10.([aabb.cc00.0201/100.1.1.3/aabb.cc00.0200/100.1.1.1/10:15:54 UTC Fri May 25 2018])
15-動態ARP檢測:DAI //IOU設備模擬