dhcp snooping 、DAI、IPSG

sw1配置:

ip dhcp snooping----全局开启dhcp侦听

ip dhcp snooping vlan 100---vlan中启用dhcp侦听，默认没vlan启用。

ip dhcp snooping information option----发送dhcp请求的端口ID插入dhcp请求数据包

ip arp inspection vlan 100-----vlan启用动态ARP监测

int fa0/20

ip dhcp snooping trust-----可信端口

ip arp inspection trust----DAI可信端口

int fa0/16

swichport mode access

swichport access vlan 44

swichport port-security

swichport port-security maximum 3

swichport port-security mac-address sticky

swichport port-security violation shutdown

ip verify source port-security-----启用ip源防护 并使用源ip和源mac地址筛选

ip source binding 1111.2222.2222 vlan 100 10.10.44.100 int fa0/14-------开启ip源防护（ip verify source port-security）才能生效。

DAI非信任端口：在将arp数据包转发出去，使其更新本地arp缓存之前，先根据ip与mac地址绑定数据库（show ip dhcp snooping binding）来检

测每个arp数据包合法性。

DHCP侦听的非信任端口：仅可以发送dhcp请求消息，其他dhcp消息丢弃。

ip源防护：基于端口的，绑定表既可以通过DHCP侦听特性进行分发，也可以通过静态配置来实现。在不可信任的dhcp侦听端口启用了ip源防护来预防ip地址欺骗攻击。该端口一开始会阻塞除dhcp数据包以外的所有ip流量。当dhcp或静态获得ip地址生成基于端口的vlan acl（pvlan）和绑定表。该端口只能使用绑定表源ip地址（ip verify source），该端口只能使用绑定表源ip地址和mac地址（ip verify source port-security）否则端口的vlan acl端口acl会丢弃该数据。

4.ip source binding 1111.2222.2222 vlan 100 10.10.44.100 int fa0/14 该命令是不是一定要开启ip 源防护才生效? 答：是的

5.dhcp snooping 、DAI、IPSG 不开启ip dhcp snooping information option命令也可以吧？答：是的