Dynamic?ARP?Inspection工作原理及測試是怎樣的

今天就跟大家聊聊有關Dynamic ARP Inspection工作原理及測試是怎樣的，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結了以下內容，希望大家根據這篇文章可以有所收獲。

一.工作原理：

A.根據DHCP Snooping或手工方式形成的MAC地址與IP地址綁定表，來確定網絡中的非法接入的MAC地址

B.同時為了防止惡意ARP欺騙，還可以對接口的arp請求包進行限速

---測試發現，對于非信任口的arp請求和回復（包括無理arp）都會被丟棄，因此覺得在非信任端口做限速沒有多大必要（沒有手工修改DHCP綁定表，或用arp access-list做排除的情況）

二.測試拓撲：

測試交換機IOS:

--Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 12.2(55)SE3, RELEASE SOFTWARE (fc1)

三.配置步驟：

A.交換機：

①全局開啟DHCP Snooping

ipdhcp snooping

②在VLAN 11啟用DHCP Snooping

ipdhcp snooping vlan 11

③指定連接R2（DHCP服務器）的接口為信任接口

interface FastEthernet0/2
ip dhcp snooping trust

④在VLAN 11開啟DAI

ip arp inspection vlan 11

B.DHCP服務器配置：

①設定ip地址池

ip dhcp pool dhcppool
  network 10.1.1.0 255.255.255.0
  default-router 10.1.1.2

②信任82選項

interface GigabitEthernet0/0
ip dhcp relay information trusted

四.測試：

A.R1和PC1都作為DHCP客戶端

---這時DHCP Snooping binding表中同時有R1和PC1的mac地址和IP對照表，因此當R1去ping PC1時，PC1的ARP Reply包能夠被交換機正常轉發，相反也是一樣，所以能ping通

B.將PC的IP手工指定為DHCP分派之外的其他地址

---比如10.1.1.130

---這時DHCP Snooping binding表中沒有PC1的mac地址和IP對照表，立馬報出日志：

*Mar  2 00:45:40.424: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/9, vlan 11.([0050.56bc.9f6a/10.1.1.130/0000.0000.0000/10.1.1.130/00:45:40 UTC Tue Mar 2

---這時R1 ping PC1不通，在PC1上面抓包，可以看到由R1發出的arp請求包，PC也給R1回復了一個arp reply包，但是R1上show arp卻沒有PC1的arp記錄，可見DAI依據DHCP Snooping binding表來判斷，如果沒有記錄的話，則把該端口的arp reply包給丟棄了

---如果這時PC1去ping R1的接口地址，不通，在PC上面抓包可以看到，發出的arp request包根本就沒有得到回應，在R1上debug也看不到arp request，說明開啟DAI后，DAI把沒有記錄的接口的ARPrequest包也給丟棄了。

---可見：交換機對DHCP Snooping綁定表沒有記錄及沒有做特殊設置的接口的ARP回復包和請求包都會丟棄

C.對于DHCNP Snooping binding表沒記錄的解決方式

---R1和PC1雖然都作為DHCP客戶端時能互相ping通，但是它們都ping不通10.1.1.2,DHCP服務器的地址。

---原因是DAI檢查DHCP綁定表沒有10.1.1.2的條目，將10.1.1.2回復的ARP Reply包給丟棄了

---這時R2上能收到R1和PC1發出的Arp Request包的，所以它的arp緩存里面有R1和PC1對應的條目的

---如果R1和PC1上手工添加R2的ARP記錄，它們是可以PING通R2的

①指定連接靜態IP的設備接口為信任接口

SW1(config-if)#ip arp inspection trust
②設定arp access-list，并在vlan arp審查過濾時調用

arp access-list testarp
permit ip host 10.1.1.2 mac host 0002.0002.0002

ip arp inspection filter testarp vlan 11 <static>

---這個static是可選的，輸入和不輸入有什么區別沒有測試出來

---在輸入arp access-list名稱時是不進行檢查的，即使輸入不存在的名稱，也不做提示

③在DHCP Snooping表中增加靜態條目

ip source binding 0002.0002.0002 vlan 11 10.1.1.2 interface Fa0/2

---增加后可以通過如下命令查看：show ip source binding 顯示動態和靜態綁定項

看完上述內容，你們對Dynamic ARP Inspection工作原理及測試是怎樣的有進一步的了解嗎？如果還想了解更多知識或者相關內容，請關注億速云行業資訊頻道，感謝大家的支持。