sw1配置:
ip dhcp snooping----全局開啓dhcp偵聽
ip dhcp snooping vlan 100---vlan中啓用dhcp偵聽,默認沒vlan啓用。
ip dhcp snooping information option----發送dhcp請求的端口ID插入dhcp請求數據包
ip arp inspection vlan 100-----vlan啓用動態ARP監測
int fa0/20
ip dhcp snooping trust-----可信端口
ip arp inspection trust----DAI可信端口
int fa0/16
swichport mode access
swichport access vlan 44
swichport port-security
swichport port-security maximum 3
swichport port-security mac-address sticky
swichport port-security violation shutdown
ip verify source port-security-----啓用ip源防護 並使用源ip和源mac地址篩選
ip source binding 1111.2222.2222 vlan 100 10.10.44.100 int fa0/14-------開啓ip源防護(ip verify source port-security)才能生效。
DAI非信任端口:在將arp數據包轉發出去,使其更新本地arp緩存之前,先根據ip與mac地址綁定數據庫(show ip dhcp snooping binding)來檢
測每個arp數據包合法性。
DHCP偵聽的非信任端口:僅可以發送dhcp請求消息,其他dhcp消息丟棄。
ip源防護:基於端口的,綁定表既可以通過DHCP偵聽特性進行分發,也可以通過靜態配置來實現。在不可信任的dhcp偵聽端口啓用了ip源防護來預防ip地址欺騙***。該端口一開始會阻塞除dhcp數據包以外的所有ip流量。當dhcp或靜態獲得ip地址生成基於端口的vlan acl(pvlan)和綁定表。該端口只能使用綁定表源ip地址(ip verify source),該端口只能使用綁定表源ip地址和mac地址(ip verify source port-security)否則端口的vlan acl端口acl會丟棄該數據。
4.ip source binding 1111.2222.2222 vlan 100 10.10.44.100 int fa0/14 該命令是不是一定要開啓ip 源防護才生效? 答:是的
5.dhcp snooping 、DAI、IPSG 不開啓ip dhcp snooping information option命令也可以吧?答:是的