--Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 12.2(55)SE3, RELEASE SOFTWARE (fc1)

三.配置步驟：

A.交換機(jī)：

①全局開(kāi)啟DHCP Snooping

ipdhcp snooping

②在VLAN 11啟用DHCP Snooping

ipdhcp snooping vlan 11

③指定連接R2（DHCP服務(wù)器）的接口為信任接口

interface FastEthernet0/2
ip dhcp snooping trust

④在VLAN 11開(kāi)啟DAI

ip arp inspection vlan 11

B.DHCP服務(wù)器配置：

①設(shè)定ip地址池

ip dhcp pool dhcppool
 network 10.1.1.0 255.255.255.0
 default-router 10.1.1.2

②信任82選項(xiàng)

interface GigabitEthernet0/0
ip dhcp relay information trusted

四.測(cè)試：

A.R1和PC1都作為DHCP客戶(hù)端

---這時(shí)DHCP Snooping binding表中同時(shí)有R1和PC1的mac地址和IP對(duì)照表，因此當(dāng)R1去ping PC1時(shí)，PC1的ARP Reply包能夠被交換機(jī)正常轉(zhuǎn)發(fā)，相反也是一樣，所以能ping通

B.將PC的IP手工指定為DHCP分派之外的其他地址

---比如10.1.1.130

---這時(shí)DHCP Snooping binding表中沒(méi)有PC1的mac地址和IP對(duì)照表，立馬報(bào)出日志：

*Mar  2 00:45:40.424: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/9, vlan 11.([0050.56bc.9f6a/10.1.1.130/0000.0000.0000/10.1.1.130/00:45:40 UTC Tue Mar 2

---這時(shí)R1 ping PC1不通，在PC1上面抓包，可以看到由R1發(fā)出的arp請(qǐng)求包，PC也給R1回復(fù)了一個(gè)arp reply包，但是R1上show arp卻沒(méi)有PC1的arp記錄，可見(jiàn)DAI依據(jù)DHCP Snooping binding表來(lái)判斷，如果沒(méi)有記錄的話(huà)，則把該端口的arp reply包給丟棄了

---如果這時(shí)PC1去ping R1的接口地址，不通，在PC上面抓包可以看到，發(fā)出的arp request包根本就沒(méi)有得到回應(yīng)，在R1上debug也看不到arp request，說(shuō)明開(kāi)啟DAI后，DAI把沒(méi)有記錄的接口的ARPrequest包也給丟棄了。

---可見(jiàn)：交換機(jī)對(duì)DHCP Snooping綁定表沒(méi)有記錄及沒(méi)有做特殊設(shè)置的接口的ARP回復(fù)包和請(qǐng)求包都會(huì)丟棄

C.對(duì)于DHCNP Snooping binding表沒(méi)記錄的解決方式

---R1和PC1雖然都作為DHCP客戶(hù)端時(shí)能互相ping通，但是它們都ping不通10.1.1.2,DHCP服務(wù)器的地址。

---原因是DAI檢查DHCP綁定表沒(méi)有10.1.1.2的條目，將10.1.1.2回復(fù)的ARP Reply包給丟棄了

---這時(shí)R2上能收到R1和PC1發(fā)出的Arp Request包的，所以它的arp緩存里面有R1和PC1對(duì)應(yīng)的條目的

---如果R1和PC1上手工添加R2的ARP記錄，它們是可以PING通R2的

①指定連接靜態(tài)IP的設(shè)備接口為信任接口

SW1(config-if)#ip arp inspection trust
②設(shè)定arp access-list，并在vlan arp審查過(guò)濾時(shí)調(diào)用

arp access-list testarp
permit ip host 10.1.1.2 mac host 0002.0002.0002

ip arp inspection filter testarp vlan 11 <static>

---這個(gè)static是可選的，輸入和不輸入有什么區(qū)別沒(méi)有測(cè)試出來(lái)

---在輸入arp access-list名稱(chēng)時(shí)是不進(jìn)行檢查的，即使輸入不存在的名稱(chēng)，也不做提示

③在DHCP Snooping表中增加靜態(tài)條目

ip source binding 0002.0002.0002 vlan 11 10.1.1.2 interface Fa0/2

---增加后可以通過(guò)如下命令查看：show ip source binding 顯示動(dòng)態(tài)和靜態(tài)綁定項(xiàng)

看完上述內(nèi)容，你們對(duì)Dynamic ARP Inspection工作原理及測(cè)試是怎樣的有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝大家的支持。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線(xiàn)，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前標(biāo)題：Dynamic?ARP?Inspection工作原理及測(cè)試是怎樣的-創(chuàng)新互聯(lián)
網(wǎng)頁(yè)地址：http://chinadenli.net/article14/edjde.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、標(biāo)簽優(yōu)化、品牌網(wǎng)站制作、搜索引擎優(yōu)化、用戶(hù)體驗(yàn)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)