sw1配置:
ip dhcp snooping----全局开启dhcp侦听
ip dhcp snooping vlan 100---vlan中启用dhcp侦听,默认没vlan启用。
ip dhcp snooping information option----发送dhcp请求的端口ID插入dhcp请求数据包
ip arp inspection vlan 100-----vlan启用动态ARP监测
int fa0/20
ip dhcp snooping trust-----可信端口
ip arp inspection trust----DAI可信端口
int fa0/16
swichport mode access
swichport access vlan 44
swichport port-security
swichport port-security maximum 3
swichport port-security mac-address sticky
swichport port-security violation shutdown
ip verify source port-security-----启用ip源防护 并使用源ip和源mac地址筛选
ip source binding 1111.2222.2222 vlan 100 10.10.44.100 int fa0/14-------开启ip源防护(ip verify source port-security)才能生效。
DAI非信任端口:在将arp数据包转发出去,使其更新本地arp缓存之前,先根据ip与mac地址绑定数据库(show ip dhcp snooping binding)来检
测每个arp数据包合法性。
DHCP侦听的非信任端口:仅可以发送dhcp请求消息,其他dhcp消息丢弃。
ip源防护:基于端口的,绑定表既可以通过DHCP侦听特性进行分发,也可以通过静态配置来实现。在不可信任的dhcp侦听端口启用了ip源防护来预防ip地址欺骗***。该端口一开始会阻塞除dhcp数据包以外的所有ip流量。当dhcp或静态获得ip地址生成基于端口的vlan acl(pvlan)和绑定表。该端口只能使用绑定表源ip地址(ip verify source),该端口只能使用绑定表源ip地址和mac地址(ip verify source port-security)否则端口的vlan acl端口acl会丢弃该数据。
4.ip source binding 1111.2222.2222 vlan 100 10.10.44.100 int fa0/14 该命令是不是一定要开启ip 源防护才生效? 答:是的
5.dhcp snooping 、DAI、IPSG 不开启ip dhcp snooping information option命令也可以吧?答:是的