DAI实验_第1张图片

实验四: DAI

1.实验三的基础上做此实验

2.SW1上启用DAI, 并且把Fa0/23指定成Trust.清除R1的ARP表项.

3.在R1上ping10.10.1.4/10.10.1.3 观察现象,思考原因.

  • R1ping 10.10.1.4,首先发送ARP解析10.10.1.4的MAC.SW1收到之后ARPInspection通过(因为有DHCPSnooping表项).SW1会正常处理ARP,最终泛洪到R4.

  • R4回复ARPReply, SW1从Trust接口收到ARPReply.所以,R1ping 10.10.1.4是可以通的.

  • 类似的,R1在ping10.10.1.3时,SW1的ARP检测通过,ARP会泛洪给R3.但是R3回复的ARPReply,由于SW1的DHCPsnooping表项中没有,并且又不是Trust接口,所以SW1直接drop.最终R1与R3不通.

4.在SW1上定义静态ARPaccess-list,使R1与R3可以通信

5.在SW1的Fa0/3接口做ARP限速,限制接口每秒最多接收5个ARP消息

完成之后,删除DAI的配置

继续上一个实验配置

SW1(config)#ip arp inspection vlan 10

SW1(config)#int f0/23

SW1(config-if)#ip arp inspection trust  // R1ping R3不通;pingR4通

SW1(config)#arp access-list ARP-R3

SW1(config-arp-nacl)#permit ip host 10.10.1.3 mac host 000c.ce3a.b7e0

SW1(config)#ip arp inspection filter ARP-R3 vlan 10

SW1#sh ip arp inspection vlan 10

Source Mac Validation      : Disabled

Destination Mac Validation : Disabled

IP Address Validation      : Disabled

 Vlan     Configuration    Operation   ACL Match          Static ACL

 ----     -------------    ---------   ---------          ----------

   10     Enabled          Active      ARP-R3             No 

 Vlan     ACL Logging      DHCP Logging      Probe Logging

 ----     -----------      ------------      -------------

   10     Deny             Deny              Off       //   R1能ping R3

SW1(config)#int f0/3

SW1(config-if)#ip arp inspection limit rate 5

SW1#sh ip arp inspection int  // 查看哪些接口trust