一、实验拓扑:
二、实验要求:
要想启用动态ARP检测,前提是启用了DHCP Snooping,DHCP检测完以后回产生一个数据库;比如连接电脑的一个端口启用2种检测后,有VLAN ID、0/1接口、MAC地址的映射,此时再该接口收到一股报文,接口的源MAC地址和之前绑定的信息不相同,就会丢弃该报文。这叫非信任接口,它一定要检测源MAC地址,其实不仅仅检测MAC地址,还要检测IP地址。
三、命令部署:
1、所有交换机下配置:
SW1(config)#ip arp inspection vlan 10
SW2(config)#ip arp inspection vlan 10
2、Trunk中继链路接口、DHCP服务器R1接口开启ARP inspection trust SW1(config)#int range e0/0,e0/2 SW1(config-if-range)#ip arp inspection trust
SW2(config)#int e0/0 SW2(config-if)#ip arp inspection trust
3、修改PC1的MAC地址: PC1(config)#int e0/0 PC1(config-if)#mac-address aabb.cc00.0201
四、验证: 1、PC1上PingR1:可以Ping通 PC1#ping 100.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 100.1.1.1, timeout is 2 seconds:!!!!!
2、修改PC1的MAC地址后再去Ping R1:失败 PC1#ping 100.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 100.1.1.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) 而且SW2还会报错: SW2(config-if)# *May 25 10:15:54.306: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Et0/1, vlan 10.([aabb.cc00.0201/100.1.1.3/aabb.cc00.0200/100.1.1.1/10:15:54 UTC Fri May 25 2018])
