LAB15:Dynamic ARP Inspect
一、实验目的
1、掌握DHCP Snooping的应用及配置
2、掌握DAI的应用及配置
二、实验内容
拓扑图:
需求:
1、防止使用ARP攻击网络
三、实验配置
配置:
SW1(config)#ip dhcp snooping(全局下启用DHCP Snooping 功能)
SW1(config)#ip dhcp snooping vlan 1 (全局下对VLAN1 开启DHCP Snooping)
Switch(config)#ip arp inspection vlan 1(全局下启用对VLAN1的ARP 检查功能)
SW1(config)#interface range fastEthernet 0/1 - 20
SW1(config-if-range)#ip dhcp snooping limit rate 100(设置接口为DHCP Snooping 不信任接口,并设置允许速率为每秒100报文)
SW1(config)#interface fastEthernet 0/24
SW1(config-if)#ip dhcp snooping trust (设置接口为DHCP Snooping 信任接口)
SW1(config-if)#ip arp inspection trust(设置接口为ARP Inspect 信任接口)
SW2(config)#ip dhcp snooping
SW2(config)#ip dhcp snooping vlan 1
Switch(config)#ip arp inspection vlan 1
SW2(config)#interface range fastEthernet 0/23 - 24
SW1(config-if-range)# ip dhcp snooping trust
SW1(config-if-range)#ip arp inspection trust
注:在所有Trunk接口及关联DHCPServer的接口应设置为DHCP Snooping、ARP Inspect的信任接口
验证:
Switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------
00:22:64:4B:AB:EB 192.168.100.100 603676 dhcp-snooping 1 FastEthernet0/1
00:21:64:4B:AB:EA 192.168.100.101 603676 dhcp-snooping 1 FastEthernet0/2
Total number of bindings: 2
四、应用场景
针对企业常见的DHCP攻击和ARP攻击进行防护。
