千家信息网

Ip dhcp snooping + ip arp inspection 的理解与应用

发表于:2024-11-14 作者:千家信息网编辑
千家信息网最后更新 2024年11月14日,Ip dhcp snooping + ip arp inspection 的理解与应用1.Ip arp inspectionConfiguring Dynamic ARP Inspection in
千家信息网最后更新 2024年11月14日Ip dhcp snooping + ip arp inspection 的理解与应用

Ip dhcp snooping + ip arp inspection 的理解与应用

1.Ip arp inspection

Configuring Dynamic ARP Inspection in DHCP Environments

This example shows how to configure dynamic ARP inspection on Switch A in VLAN 1. You would perform a similar procedure on Switch B:

Switch(config)# ip arp inspection vlan 1

Switch(config)# interface gigabitethernet 0/1

Switch(config-if)# ip arp inspection trust

其他不可信端口需根据由dhcp snooping 得来的macip的映射表来判断ARP包是否合法。

Configuring ARP ACLs for Non-DHCP Environments

This example shows how to configure an ARP ACL called host2 on Switch A, to permit ARP packets from Host 2 (IP address 1.1.1.1 and MAC address 0001.0001.0001), to apply the ACL to VLAN 1, and to configure port 1 on Switch A as untrusted:

Switch(config)# arp access-list host2

Switch(config-arp-acl)# permit ip host 1.1.1.1 mac host 1.1.1

Switch(config-arp-acl)# exit

Switch(config)# ip arp inspection filter host2 vlan 1

Switch(config)# interface gigabitethernet 0/1

Switch(config-if)# no ip arp inspection trust//之前已配置了信任,现在是不信任

理解:port1是不可信端口、但是允许来自host2ARP包通过不需要匹配IpMAC的映射表。是不是这张表是通过dhcp snooping获得的,而host2是静态配置不Ip,不用通过dhcp动态获取,所以表没有相关记录。不能依靠这个来检测ARP包。

2.ip dhcp snooping

可信端口可以发起所有DHCP消息,不可信端口只能发起请求消息。这个特性可以结合DHCP Option 82 使用,使用这个消息可以把DHCP请求的端口ID插入DHCP请求数据包中。

0