Dynamic?ARP?Inspection工作原理及測試是怎樣的

今天就跟大家聊聊有關(guān)Dynamic ARP Inspection工作原理及測試是怎樣的，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

一.工作原理：

A.根據(jù)DHCP Snooping或手工方式形成的MAC地址與IP地址綁定表，來確定網(wǎng)絡(luò)中的非法接入的MAC地址

B.同時(shí)為了防止惡意ARP欺騙，還可以對接口的arp請求包進(jìn)行限速

---測試發(fā)現(xiàn)，對于非信任口的arp請求和回復(fù)（包括無理arp）都會(huì)被丟棄，因此覺得在非信任端口做限速?zèng)]有多大必要（沒有手工修改DHCP綁定表，或用arp access-list做排除的情況）

二.測試拓?fù)洌?/strong>

測試交換機(jī)IOS:

--Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 12.2(55)SE3, RELEASE SOFTWARE (fc1)

三.配置步驟：

A.交換機(jī)：

①全局開啟DHCP Snooping

ipdhcp snooping

②在VLAN 11啟用DHCP Snooping

ipdhcp snooping vlan 11

③指定連接R2（DHCP服務(wù)器）的接口為信任接口

interface FastEthernet0/2
ip dhcp snooping trust

④在VLAN 11開啟DAI

ip arp inspection vlan 11

B.DHCP服務(wù)器配置：

①設(shè)定ip地址池

ip dhcp pool dhcppool
  network 10.1.1.0 255.255.255.0
  default-router 10.1.1.2

②信任82選項(xiàng)

interface GigabitEthernet0/0
ip dhcp relay information trusted

四.測試：

A.R1和PC1都作為DHCP客戶端

---這時(shí)DHCP Snooping binding表中同時(shí)有R1和PC1的mac地址和IP對照表，因此當(dāng)R1去ping PC1時(shí)，PC1的ARP Reply包能夠被交換機(jī)正常轉(zhuǎn)發(fā)，相反也是一樣，所以能ping通

B.將PC的IP手工指定為DHCP分派之外的其他地址

---比如10.1.1.130

---這時(shí)DHCP Snooping binding表中沒有PC1的mac地址和IP對照表，立馬報(bào)出日志：

*Mar  2 00:45:40.424: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/9, vlan 11.([0050.56bc.9f6a/10.1.1.130/0000.0000.0000/10.1.1.130/00:45:40 UTC Tue Mar 2

---這時(shí)R1 ping PC1不通，在PC1上面抓包，可以看到由R1發(fā)出的arp請求包，PC也給R1回復(fù)了一個(gè)arp reply包，但是R1上show arp卻沒有PC1的arp記錄，可見DAI依據(jù)DHCP Snooping binding表來判斷，如果沒有記錄的話，則把該端口的arp reply包給丟棄了

---如果這時(shí)PC1去ping R1的接口地址，不通，在PC上面抓包可以看到，發(fā)出的arp request包根本就沒有得到回應(yīng)，在R1上debug也看不到arp request，說明開啟DAI后，DAI把沒有記錄的接口的ARPrequest包也給丟棄了。

---可見：交換機(jī)對DHCP Snooping綁定表沒有記錄及沒有做特殊設(shè)置的接口的ARP回復(fù)包和請求包都會(huì)丟棄

C.對于DHCNP Snooping binding表沒記錄的解決方式

---R1和PC1雖然都作為DHCP客戶端時(shí)能互相ping通，但是它們都ping不通10.1.1.2,DHCP服務(wù)器的地址。

---原因是DAI檢查DHCP綁定表沒有10.1.1.2的條目，將10.1.1.2回復(fù)的ARP Reply包給丟棄了

---這時(shí)R2上能收到R1和PC1發(fā)出的Arp Request包的，所以它的arp緩存里面有R1和PC1對應(yīng)的條目的

---如果R1和PC1上手工添加R2的ARP記錄，它們是可以PING通R2的

①指定連接靜態(tài)IP的設(shè)備接口為信任接口

SW1(config-if)#ip arp inspection trust
②設(shè)定arp access-list，并在vlan arp審查過濾時(shí)調(diào)用

arp access-list testarp
permit ip host 10.1.1.2 mac host 0002.0002.0002

ip arp inspection filter testarp vlan 11 <static>

---這個(gè)static是可選的，輸入和不輸入有什么區(qū)別沒有測試出來

---在輸入arp access-list名稱時(shí)是不進(jìn)行檢查的，即使輸入不存在的名稱，也不做提示

③在DHCP Snooping表中增加靜態(tài)條目

ip source binding 0002.0002.0002 vlan 11 10.1.1.2 interface Fa0/2

---增加后可以通過如下命令查看：show ip source binding 顯示動(dòng)態(tài)和靜態(tài)綁定項(xiàng)

看完上述內(nèi)容，你們對Dynamic ARP Inspection工作原理及測試是怎樣的有進(jìn)一步的了解嗎？如果還想了解更多知識或者相關(guān)內(nèi)容，請關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。