我的网络图是:
在此图中,交换机 3750 是我的主交换机,所有 ACL 和 vlaning 以及 DHCP 服务器和...命令都在此交换机中。我想在我的网络中设置 ARP 检查配置以确保安全。我需要在3750交换机上做吗?
我阅读了 cisco 源代码,其中大部分是针对 dhcp 服务器与交换机分离的状态(例如 3750),对我没有用。
我需要做什么才能使动态 ARP 检查适用于此拓扑?
使用 dhcp 侦听进行 arp 检查
网络工程
思科
转变
dhcp
arp
dhcp 监听
2021-07-04 03:46:25
1个回答
您不需要在 3750 核心交换机上运行 DHCP 侦听或 DAI 即可在 2960 接入交换机上使用这些功能。
在 2960 上,只需为所需的 VLAN 全局启用 DHCP 侦听和 DAI,然后信任侦听和 DAI 的中继端口。这些命令可能看起来像这样:
! Global commands on the 2960s
ip dhcp snooping
ip dhcp snooping vlan 1-4094
ip arp inspection vlan 1-4094
! Trunk Port on the 2960
int Gi0/1
ip dhcp snooping trust
ip arp inspection trust
请注意,如果您的 VLAN 具有静态而不是 DHCP 分配的 IP,则需要将它们从 VLAN 列表中排除,信任具有静态分配的 IP 的端口(如果它们确实不是受信任的端口,则不首选),或从DHCP 侦听并为 DAI 使用该 VLAN 的 ARP ACL。
此外,如果这是一个已经在生产中的网络,请确保 DHCP 监听数据库已经收集了任何现有的租约,然后再执行 DAI 命令,否则一些合法的 ARP 请求将被阻止(或在允许重新触发 DHCP 的服务窗口期间配置所有内容所有受影响客户的租赁请求)。