功能:
1、用于防范ARP欺骗,需要建立一个可信的、真实的、安全的ARP缓存库,这个库可以使用DHCP探测来获得或者静态绑定
2、非信任端口的ARP应答将被拦截和比对,比对接口如果是不真实的,该应答抛弃。
3、信任端口不被拦截和比对。
楼主的问题:
如上所说,需要建立一个可信的IP到MAC的绑定的库用于对比,所以,需要用静态绑定或者DHCP Snooping来生成。其次要定义DAI检查的范围,即需要检查怎样的子网或VLAN(ip arp inspection vlan 1,检查vlan1,即vlan1这个子网),其次要定义受信的接口,ip arp inspection trust 可用于任意接口,但是,如果你知晓某个接口连接的子网正在进行ARP欺骗,很明显这样的接口不要配这句语句的好......
以下是一些详细的配置:
1、定义启用的范围
switch(config)#ip arp inspection vlan vlan-range
2、设置信任接口
switch(config)#interfac 接口
switch(config-if)#ip arp inspection trust
3、主机静态的配置了ip,用dhcp无法检测,所以要手工配置
定义静态的arp检查绑定
switch(config)#arp access-list acl_name
switch(config-acl)#permit ip host sender_ip mac host sender_mac [log]
将arp访问列表应用于DAI
switch(config)#IP ARP inspection filter arp_acl_name vlan vlan_range [static]
验证DAI地址
switch(config)#ip arp inspection validate {src-mac|dst-mac|ip}
(2)检查
show ip arp inspection
阅读(1469) | 评论(0) | 转发(0) |