Ip dhcp snooping + ip arp inspection 的理解與應用

發(fā)布時間：2020-09-06 10:45:43 來源：網絡閱讀：946 作者：mrgwy 欄目：安全技術

1.Ip arp inspection

Configuring Dynamic ARP Inspection in DHCP Environments

This example shows how to configure dynamic ARP inspection on Switch A in VLAN 1. You would perform a similar procedure on Switch B:

Switch(config)# ip arp inspection vlan 1

Switch(config)# interface gigabitethernet 0/1

Switch(config-if)# ip arp inspection trust

其他不可信端口需根據由dhcp snooping 得來的mac與ip的映射表來判斷ARP包是否合法。

Configuring ARP ACLs for Non-DHCP Environments

This example shows how to configure an ARP ACL called host2 on Switch A, to permit ARP packets from Host 2 (IP address 1.1.1.1 and MAC address 0001.0001.0001), to apply the ACL to VLAN 1, and to configure port 1 on Switch A as untrusted:

Switch(config)# arp access-list host2

Switch(config-arp-acl)# permit ip host 1.1.1.1 mac host 1.1.1

Switch(config-arp-acl)# exit

Switch(config)# ip arp inspection filter host2 vlan 1

Switch(config)# interface gigabitethernet 0/1

Switch(config-if)# no ip arp inspection trust//之前已配置了信任，現(xiàn)在是不信任

理解：port1是不可信端口、但是允許來自host2的ARP包通過不需要匹配Ip與MAC的映射表。是不是這張表是通過dhcp snooping獲得的，而host2是靜態(tài)配置不Ip，不用通過dhcp動態(tài)獲取，所以表沒有相關記錄。不能依靠這個來檢測ARP包。

2.ip dhcp snooping

可信端口可以發(fā)起所有DHCP消息，不可信端口只能發(fā)起請求消息。這個特性可以結合DHCP Option 82 使用，使用這個消息可以把DHCP請求的端口ID插入DHCP請求數據包中。

向AI問一下細節(jié)

Ip dhcp snooping + ip arp inspection 的理解與應用

猜你喜歡

最新資訊

相關推薦

相關標簽