ip arp inspection

3b#config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
3b(config)#arp access-list Vlan3-Static-Arp   /*定义ARP Access-list名称
3b(config-arp-nacl)#permit ip host 172.16.8.1 mac host 123d.ded9.25df   /*定义合法的ARP对应关系（按需求定义多个，这里只列出1个）
3b(config-arp-nacl)#exit
3b(config)#int gigabitEthernet 0/51  （与其他交换机相连的端口）
3b(config-if)#ip arp inspection trust  /*将接入层交换机与核心层交换机的连接端口（Trunk）定义为可信任端口，非常重要！！
3b(config-if)#exit
3b(config)#ip arp inspection filter Vlan3-Static-Arp vlan 3  /*定义将哪个ARP访问列表应用到哪个VLAN
3b(config)#ip arp inspection vlan 3  /*定义对哪些VLAN进行ARP报文检测


最后,当端口接收到非法的ARP报文时，交换机将其丢弃并报警，报警信息如下：
1w4d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Gi0/5, vlan 3. ([098a.8989.6d77/172.16.8.54 /0000.0000.0000/172.16.8.20/02:58:47 UTC Sat May 22 2010]) /*交换机DAI机制拒绝：1个无效的ARP请求信息来自端口Gi0/5，隶属于vlan 3，ARP报文中源主机MAC：098a.8989.6d77，IP：172.16.8.54，请求172.16.8.20的MAC地址