CCNA 认证/高级交换主题
致谢 — 简介 — OSI 模型 — 应用层 — 传输层 — 网络层 — 寻址 — 路由协议 — 数据链路层 — 交换 — 物理层 — 路由器操作 — 高级寻址主题 — 高级路由主题 — 高级交换主题 — 安全 — 广域网 — 配置 — 结论 — 参考文献 — 关于考试 — Cisco 路由器命令 — 快速参考表
没有 DHCP 的 IP 源守卫 当启用 DHCP 侦听时,交换机维护一个 DHCP 地址数据库,这些地址分配给连接到每个访问端口的主机。IP 源守卫在访问接口上接收到数据包时引用该数据库,并将源地址与数据库中列出的分配地址进行比较。如果源地址与“允许”的地址不同,则假定数据包是伪造的,并将其丢弃。假设子网不可用或未使用 DHCP,则可以手动配置每个访问端口的静态 IP 绑定以达到相同的效果。
配置
sw1(config)#ip dhcp snooping
sw1(config)#ip dhcp snooping vlan 146
sw1(config)#interface FastEthernet0/13
switchport access vlan 146
switchport trunk encapsulation dot1q
switchport mode access
ip verify source
sw1(config)#interface FastEthernet0/16
switchport access vlan 146
switchport mode access
ip verify source
sw1(config)#ip source binding 000D.29C0.F180 vlan 146 155.1.0.2 interface Fa0/13
sw1(config)#ip source binding 000D.29E3.AB00 vlan 146 155.1.0.3 interface Fa0/16
sw1(config)#do sh ip source binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
--------------- ---------- ------------- ---- --------------------
0:0D:29:C0:F1:80 155.1.0.2 无限 静态 146 FastEthernet0/13
00:0D:29:E3:AB:00 155.1.0.3 无限 静态 146 FastEthernet0/16
绑定总数:2
sw1(config)#do sh ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
----------- ----------- --------------- ----------------- ----------
Fa0/13 ip active 155.1.0.2 146
Fa0/16 ip active 155.1.0.3 146
sw1(config)#
如果你没有在 sw1 上启用 dhcp 侦听,它将在任何 Filter-mode 列表中显示以下内容:inactive-no-snooping-vlan
entry.
sw1(config)#no ip dhcp snooping vlan 146
sw1(config)#do sh ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
----------- ----------- --------------- ----------------- ----------
Fa0/13 ip inactive-no-snooping-vlan
Fa0/16 ip inactive-no-snooping-vlan 将 sw2 的 IP 地址更改为 155.1.0.22,现在尝试 ping 155.1.0.3(sw3 的 IP 地址),以下错误消息将在 sw1(3560) 中生成。
sw1(config)#
02:30:26: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Fa0/13 上无效的 ARP(请求),vlan 146。([000d.29c0. f180/155.1.0.22/000d.29e3.ab00/155.1.0.3/02:30:25 UTC Mon Mar 1 1993]) 02:30:26: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Fa0/13 上无效的 ARP(响应),vlan 146。([000d.29c0. f180/155.1.0.22/ffff.ffff.ffff/155.1.0.22/02:30:25 UTC Mon Mar 1 1993]) 02:30:33: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Fa0/13 上无效的 ARP(请求),vlan 146。([000d.29c0. f180/155.1.0.22/0000.0000.0000/155.1.0.3/02:30:32 UTC Mon Mar 1 1993]) 02:30:35: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Fa0/13 上无效的 ARP(请求),vlan 146。([000d.29c0 f180/155.1.0.22/0000.0000.0000/155.1.0.3/02:30:34 UTC Mon Mar 1 1993]) 02:30:37: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Fa0/13 上无效的 ARP(请求),vlan 146。([000d.29c0. f180/155.1.0.22/0000.0000.0000/155.1.0.3/02:30:36 UTC Mon Mar 1 1993]) 02:30:39: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Fa0/13 上无效的 ARP(请求),vlan 146。([000d.29c0. f180/155.1.0.22/0000.0000.0000/155.1.0.3/02:30:38 UTC Mon Mar 1 1993]) 02:30:40: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Fa0/13 上无效的 ARP(请求),vlan 146。([000d.29c0. f180/155.1.0.22/0000.0000.0000/155.1.0.3/02:30:40 UTC Mon Mar 1 1993]) 02:30:42: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Fa0/13 上无效的 ARP(请求),vlan 146。([000d.29c0. f180/155.1.0.22/0000.0000.0000/155.1.0.3/02:30:42 UTC Mon Mar 1 1993]) 02:30:44: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Fa0/13 上无效的 ARP(请求),vlan 146。([000d.29c0. f180/155.1.0.22/0000.0000.0000/155.1.0.3/02:30:44 UTC Mon Mar 1 1993]) 02:30:46: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Fa0/13 上无效的 ARP(请求),vlan 146。([000d.29c0. f180/155.1.0.22/0000.0000.0000/155.1.0.3/02:30:46 UTC Mon Mar 1 1993]) sw1(config)# 02:39:44: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Fa0/13 上无效的 ARP(请求),vlan 146。([000d.29c0. f180/155.1.0.22/000d.29e3.ab00/155.1.0.3/02:39:43 UTC Mon Mar 1 1993]) 02:39:44: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Fa0/13 上无效的 ARP(响应),vlan 146。([000d.29c0. f180/155.1.0.22/ffff.ffff.ffff/155.1.0.22/02:39:43 UTC Mon Mar 1 1993]) sw1(config)# do sh ip arp inspection 源 MAC 验证 : 禁用 目标 MAC 验证 : 禁用 IP 地址验证 : 禁用
Vlan Configuration Operation ACL Match Static ACL ---- ------------- --------- --------- ----------
146 启用 活动 VLAN ACL 记录 DHCP 记录
---- ----------- ------------ 146 Deny Deny Vlan Forwarded Dropped DHCP Drops ACL Drops ---- --------- ------- ---------- --------- 146 3 12 12 0 Vlan DHCP Permits ACL Permits Source MAC Failures ---- ------------ ----------- ------------------- 146 3 0 0 Vlan Dest MAC Failures IP Validation Failures Invalid Protocol Data ---- ----------------- ---------------------- --------------------- Vlan Dest MAC Failures IP Validation Failures Invalid Protocol Data ---- ----------------- ---------------------- --------------------- 146 0 0 0
sw1(config)#ip arp inspection vlan 146
在没有 DHCP 服务器的 SW1 上启用 DAI sw1(config)#ip arp inspection vlan 146
sw1(config)#ip arp inspection filter vlan146 vlan 146
sw1(config)#interface FastEthernet0/13
switchport access vlan 146
switchport trunk encapsulation dot1q
switchport mode access
ip arp inspection limit rate 50 burst interval 10
sw1(config)#interface FastEthernet0/16
switchport access vlan 146
switchport mode access
sw1(config)#interface FastEthernet0/19
switchport access vlan 146
switchport mode access
sw1(config)#arp access-list vlan146
permit ip host 155.1.0.2 mac host 000d.29c0.f180
permit ip host 155.1.0.3 mac host 000d.29e3.ab00
在 SW2 上
sw2(config)#interface FastEthernet0/13
no switchport
ip address 155.1.0.2 255.255.255.0
no shutdown
在 SW3 上
sw3(config)#interface FastEthernet0/13
no switchport
ip address 155.1.0.3 255.255.255.0
no shutdown
在 SW4 上
interface FastEthernet0/13
no switchport
ip address 155.1.0.4 255.255.255.0
no shutdown
当你尝试从 sw4 ping 时,它将在 sw1 中生成 arp 错误,但在 sw2 和 sw3 的情况下不会出现问题,因为 IP 地址到 MAC 地址的映射是使用 arp-acl 完成的。