15-动态ARP检测：DAI //IOU设备模拟

一、实验拓扑：

二、实验要求：
要想启用动态ARP检测，前提是启用了DHCP Snooping，DHCP检测完以后回产生一个数据库；比如连接电脑的一个端口启用2种检测后，有VLAN ID、0/1接口、MAC地址的映射，此时再该接口收到一股报文，接口的源MAC地址和之前绑定的信息不相同，就会丢弃该报文。这叫非信任接口，它一定要检测源MAC地址，其实不仅仅检测MAC地址，还要检测IP地址。
三、命令部署：
1、所有交换机下配置：
SW1(config)#ip arp inspection vlan 10
SW2(config)#ip arp inspection vlan 10

2、Trunk中继链路接口、DHCP服务器R1接口开启ARP inspection trust
SW1(config)#int range e0/0,e0/2
SW1(config-if-range)#ip arp inspection trust

SW2(config)#int e0/0
SW2(config-if)#ip arp inspection trust

3、修改PC1的MAC地址：
PC1(config)#int e0/0
PC1(config-if)#mac-address aabb.cc00.0201

四、验证：
1、PC1上PingR1：可以Ping通
PC1#ping 100.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.1, timeout is 2 seconds:!!!!!

2、修改PC1的MAC地址后再去Ping R1：失败
PC1#ping 100.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
而且SW2还会报错：
SW2(config-if)#
*May 25 10:15:54.306: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Et0/1, vlan 10.([aabb.cc00.0201/100.1.1.3/aabb.cc00.0200/100.1.1.1/10:15:54 UTC Fri May 25 2018])