您好,登錄后才能下訂單哦!
今天就跟大家聊聊有關(guān)Dynamic ARP Inspection工作原理及測試是怎樣的,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。
一.工作原理:
A.根據(jù)DHCP Snooping或手工方式形成的MAC地址與IP地址綁定表,來確定網(wǎng)絡(luò)中的非法接入的MAC地址
B.同時(shí)為了防止惡意ARP欺騙,還可以對接口的arp請求包進(jìn)行限速
---測試發(fā)現(xiàn),對于非信任口的arp請求和回復(fù)(包括無理arp)都會(huì)被丟棄,因此覺得在非信任端口做限速?zèng)]有多大必要(沒有手工修改DHCP綁定表,或用arp access-list做排除的情況)
二.測試拓?fù)洌?/strong>
測試交換機(jī)IOS:
--Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 12.2(55)SE3, RELEASE SOFTWARE (fc1)
三.配置步驟:
A.交換機(jī):
①全局開啟DHCP Snooping
ipdhcp snooping
②在VLAN 11啟用DHCP Snooping
ipdhcp snooping vlan 11
③指定連接R2(DHCP服務(wù)器)的接口為信任接口
interface FastEthernet0/2
ip dhcp snooping trust
④在VLAN 11開啟DAI
ip arp inspection vlan 11
B.DHCP服務(wù)器配置:
①設(shè)定ip地址池
ip dhcp pool dhcppool
network 10.1.1.0 255.255.255.0
default-router 10.1.1.2
②信任82選項(xiàng)
interface GigabitEthernet0/0
ip dhcp relay information trusted
四.測試:
A.R1和PC1都作為DHCP客戶端
---這時(shí)DHCP Snooping binding表中同時(shí)有R1和PC1的mac地址和IP對照表,因此當(dāng)R1去ping PC1時(shí),PC1的ARP Reply包能夠被交換機(jī)正常轉(zhuǎn)發(fā),相反也是一樣,所以能ping通
B.將PC的IP手工指定為DHCP分派之外的其他地址
---比如10.1.1.130
---這時(shí)DHCP Snooping binding表中沒有PC1的mac地址和IP對照表,立馬報(bào)出日志:
*Mar 2 00:45:40.424: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/9, vlan 11.([0050.56bc.9f6a/10.1.1.130/0000.0000.0000/10.1.1.130/00:45:40 UTC Tue Mar 2
---這時(shí)R1 ping PC1不通,在PC1上面抓包,可以看到由R1發(fā)出的arp請求包,PC也給R1回復(fù)了一個(gè)arp reply包,但是R1上show arp卻沒有PC1的arp記錄,可見DAI依據(jù)DHCP Snooping binding表來判斷,如果沒有記錄的話,則把該端口的arp reply包給丟棄了
---如果這時(shí)PC1去ping R1的接口地址,不通,在PC上面抓包可以看到,發(fā)出的arp request包根本就沒有得到回應(yīng),在R1上debug也看不到arp request,說明開啟DAI后,DAI把沒有記錄的接口的ARPrequest包也給丟棄了。
---可見:交換機(jī)對DHCP Snooping綁定表沒有記錄及沒有做特殊設(shè)置的接口的ARP回復(fù)包和請求包都會(huì)丟棄
C.對于DHCNP Snooping binding表沒記錄的解決方式
---R1和PC1雖然都作為DHCP客戶端時(shí)能互相ping通,但是它們都ping不通10.1.1.2,DHCP服務(wù)器的地址。
---原因是DAI檢查DHCP綁定表沒有10.1.1.2的條目,將10.1.1.2回復(fù)的ARP Reply包給丟棄了
---這時(shí)R2上能收到R1和PC1發(fā)出的Arp Request包的,所以它的arp緩存里面有R1和PC1對應(yīng)的條目的
---如果R1和PC1上手工添加R2的ARP記錄,它們是可以PING通R2的
①指定連接靜態(tài)IP的設(shè)備接口為信任接口
SW1(config-if)#ip arp inspection trust
②設(shè)定arp access-list,并在vlan arp審查過濾時(shí)調(diào)用
arp access-list testarp
permit ip host 10.1.1.2 mac host 0002.0002.0002
ip arp inspection filter testarp vlan 11 <static>
---這個(gè)static是可選的,輸入和不輸入有什么區(qū)別沒有測試出來
---在輸入arp access-list名稱時(shí)是不進(jìn)行檢查的,即使輸入不存在的名稱,也不做提示
③在DHCP Snooping表中增加靜態(tài)條目
ip source binding 0002.0002.0002 vlan 11 10.1.1.2 interface Fa0/2
---增加后可以通過如下命令查看:show ip source binding 顯示動(dòng)態(tài)和靜態(tài)綁定項(xiàng)
看完上述內(nèi)容,你們對Dynamic ARP Inspection工作原理及測試是怎樣的有進(jìn)一步的了解嗎?如果還想了解更多知識或者相關(guān)內(nèi)容,請關(guān)注億速云行業(yè)資訊頻道,感謝大家的支持。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。