DAI實(shí)驗(yàn)

實(shí)驗(yàn)四: DAI

1.實(shí)驗(yàn)三的基礎(chǔ)上做此實(shí)驗(yàn)

2.SW1上啟用DAI, 并且把Fa0/23指定成Trust.清除R1的ARP表項(xiàng).

3.在R1上ping10.10.1.4/10.10.1.3 觀察現(xiàn)象,思考原因.

• R1ping 10.10.1.4,首先發(fā)送ARP解析10.10.1.4的MAC.SW1收到之后ARPInspection通過(因?yàn)橛蠨HCPSnooping表項(xiàng)).SW1會(huì)正常處理ARP,最終泛洪到R4.

• R4回復(fù)ARPReply, SW1從Trust接口收到ARPReply.所以,R1ping 10.10.1.4是可以通的.

• 類似的,R1在ping10.10.1.3時(shí),SW1的ARP檢測(cè)通過,ARP會(huì)泛洪給R3.但是R3回復(fù)的ARPReply,由于SW1的DHCPsnooping表項(xiàng)中沒有,并且又不是Trust接口,所以SW1直接drop.最終R1與R3不通.

4.在SW1上定義靜態(tài)ARPaccess-list,使R1與R3可以通信

5.在SW1的Fa0/3接口做ARP限速,限制接口每秒最多接收5個(gè)ARP消息

完成之后,刪除DAI的配置

繼續(xù)上一個(gè)實(shí)驗(yàn)配置

SW1(config)#ip arp inspection vlan 10

SW1(config)#int f0/23

SW1(config-if)#ip arp inspection trust ?// R1ping R3不通；pingR4通

SW1(config)#arp access-list ARP-R3

SW1(config-arp-nacl)#permit ip host 10.10.1.3 mac host 000c.ce3a.b7e0

SW1(config)#ip arp inspection filter ARP-R3 vlan 10

SW1#sh ip arp inspection vlan 10

Source Mac Validation ? ? ?: Disabled

Destination Mac Validation : Disabled

IP Address Validation ? ? ?: Disabled

?Vlan ? ? Configuration ? ?Operation ? ACL Match ? ? ? ? ?Static ACL

?---- ? ? ------------- ? ?--------- ? --------- ? ? ? ? ?----------

? ?10 ? ? Enabled ? ? ? ? ?Active ? ? ?ARP-R3 ? ? ? ? ? ? No?

?Vlan ? ? ACL Logging ? ? ?DHCP Logging ? ? ?Probe Logging

?---- ? ? ----------- ? ? ?------------ ? ? ?-------------

? ?10 ? ? Deny ? ? ? ? ? ? Deny ? ? ? ? ? ? ?Off ? ? ? // ??R1能ping R3

SW1(config)#int f0/3

SW1(config-if)#ip arp inspection limit rate 5

SW1#sh ip arp inspection int ?// 查看哪些接口trust