Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2323191
  • 博文数量: 535
  • 博客积分: 8689
  • 博客等级: 中将
  • 技术积分: 7066
  • 用 户 组: 普通用户
  • 注册时间: 2010-11-26 10:00
文章分类

全部博文(535)

文章存档

2024年(4)

2023年(4)

2022年(16)

2014年(90)

2013年(76)

2012年(125)

2011年(184)

2010年(37)

分类:

2012-02-24 10:40:06







功能: 1、用于防范ARP欺骗,需要建立一个可信的、真实的、安全的ARP缓存库,这个库可以使用DHCP探测来获得或者静态绑定 2、非信任端口的ARP应答将被拦截和比对,比对接口如果是不真实的,该应答抛弃。 3、信任端口不被拦截和比对。 楼主的问题: 如上所说,需要建立一个可信的IP到MAC的绑定的库用于对比,所以,需要用静态绑定或者DHCP Snooping来生成。其次要定义DAI检查的范围,即需要检查怎样的子网或VLAN(ip arp inspection vlan 1,检查vlan1,即vlan1这个子网),其次要定义受信的接口,ip arp inspection trust 可用于任意接口,但是,如果你知晓某个接口连接的子网正在进行ARP欺骗,很明显这样的接口不要配这句语句的好...... 以下是一些详细的配置: 1、定义启用的范围 switch(config)#ip arp inspection vlan vlan-range 2、设置信任接口 switch(config)#interfac 接口 switch(config-if)#ip arp inspection trust 3、主机静态的配置了ip,用dhcp无法检测,所以要手工配置 定义静态的arp检查绑定 switch(config)#arp access-list acl_name switch(config-acl)#permit ip host sender_ip mac host sender_mac [log] 将arp访问列表应用于DAI switch(config)#IP ARP inspection filter arp_acl_name vlan vlan_range [static] 验证DAI地址 switch(config)#ip arp inspection validate {src-mac|dst-mac|ip} (2)检查 show ip arp inspection


阅读(1469) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~