DAI实验-创新互联
实验四: DAI
1.实验三的基础上做此实验
2.SW1上启用DAI, 并且把Fa0/23指定成Trust.清除R1的ARP表项.
3.在R1上ping10.10.1.4/10.10.1.3 观察现象,思考原因.
R1ping 10.10.1.4,首先发送ARP解析10.10.1.4的MAC.SW1收到之后ARPInspection通过(因为有DHCPSnooping表项).SW1会正常处理ARP,最终泛洪到R4.
R4回复ARPReply, SW1从Trust接口收到ARPReply.所以,R1ping 10.10.1.4是可以通的.
类似的,R1在ping10.10.1.3时,SW1的ARP检测通过,ARP会泛洪给R3.但是R3回复的ARPReply,由于SW1的DHCPsnooping表项中没有,并且又不是Trust接口,所以SW1直接drop.最终R1与R3不通.
4.在SW1上定义静态ARPaccess-list,使R1与R3可以通信
5.在SW1的Fa0/3接口做ARP限速,限制接口每秒最多接收5个ARP消息
完成之后,删除DAI的配置
继续上一个实验配置
SW1(config)#ip arp inspection vlan 10
SW1(config)#int f0/23
SW1(config-if)#ip arp inspection trust // R1ping R3不通;pingR4通
SW1(config)#arp access-list ARP-R3
SW1(config-arp-nacl)#permit ip host 10.10.1.3 mac host 000c.ce3a.b7e0
SW1(config)#ip arp inspection filter ARP-R3 vlan 10
SW1#sh ip arp inspection vlan 10
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration Operation ACL Match Static ACL
---- ------------- --------- --------- ----------
10 Enabled Active ARP-R3 No
Vlan ACL Logging DHCP Logging Probe Logging
---- ----------- ------------ -------------
10 Deny Deny Off // R1能ping R3
SW1(config)#int f0/3
SW1(config-if)#ip arp inspection limit rate 5
SW1#sh ip arp inspection int // 查看哪些接口trust
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
分享文章:DAI实验-创新互联
本文路径:http://azwzsj.com/article/ddgijd.html