资讯

精准传达 • 有效沟通

从品牌网站建设到网络营销策划,从策略到执行的一站式服务

Ipdhcpsnooping+iparpinspection的理解与应用

Ip dhcp snooping + ip arp inspection 的理解与应用

成都创新互联公司专业提供成都主机托管四川主机托管成都服务器托管四川服务器托管,支持按月付款!我们的承诺:贵族品质、平民价格,机房位于中国电信/网通/移动机房,川西大数据中心服务有保障!

Ip dhcp snooping + ip arp inspection 的理解与应用

1.Ip  arp inspection

Configuring Dynamic ARP Inspection in DHCP Environments

This example shows how to configure dynamic ARP inspection on Switch A in VLAN 1. You would perform a similar procedure on Switch B:

Switch(config)# ip arp inspection vlan 1

Switch(config)# interface gigabitethernet 0/1

Switch(config-if)# ip arp inspection trust

其他不可信端口需根据由dhcp snooping 得来的mac与ip的映射表来判断ARP包是否合法。

Configuring ARP ACLs for Non-DHCP Environments

This example shows how to configure an ARP ACL calledhost2 on Switch A, to permit ARP packets from Host 2 (IP address 1.1.1.1 and MAC address 0001.0001.0001), to apply the ACL to VLAN 1, and to configure port 1 on Switch A as untrusted:

Switch(config)# arp access-list host2

Switch(config-arp-acl)# permit ip host 1.1.1.1 mac host 1.1.1

Switch(config-arp-acl)# exit

Switch(config)# ip arp inspection filter host2 vlan 1

Switch(config)# interface gigabitethernet 0/1

Switch(config-if)# no ip arp inspection trust//之前已配置了信任,现在是不信任

理解:port1是不可信端口、但是允许来自host2的ARP包通过不需要匹配Ip与MAC的映射表。是不是这张表是通过dhcp snooping获得的,而host2是静态配置不Ip,不用通过dhcp动态获取,所以表没有相关记录。不能依靠这个来检测ARP包。

2.ip dhcp snooping

可信端口可以发起所有DHCP消息,不可信端口只能发起请求消息。这个特性可以结合DHCP Option 82使用,使用这个消息可以把DHCP请求的端口ID插入DHCP请求数据包中。


当前标题:Ipdhcpsnooping+iparpinspection的理解与应用
文章源于:http://cdkjz.cn/article/ghoopd.html
多年建站经验

多一份参考,总有益处

联系快上网,免费获得专属《策划方案》及报价

咨询相关问题或预约面谈,可以通过以下方式与我们联系

大客户专线   成都:13518219792   座机:028-86922220