dhcp snooping 、DAI、IPSG

sw1配置:

ip dhcp snooping----全局开启dhcp侦听

ip dhcp snooping vlan 100---vlan中启用dhcp侦听,默认没vlan启用。

ip dhcp snooping information option----发送dhcp请求的端口ID插入dhcp请求数据包

ip arp inspection vlan 100-----vlan启用动态ARP监测


int fa0/20

ip dhcp snooping trust-----可信端口

ip arp inspection trust----DAI可信端口


int fa0/16

swichport mode access

swichport access vlan 44

swichport port-security

swichport port-security maximum 3

swichport port-security mac-address sticky

swichport port-security violation shutdown

ip verify source port-security-----启用ip源防护 并使用源ip和源mac地址筛选


ip source binding 1111.2222.2222 vlan 100 10.10.44.100 int fa0/14-------开启ip源防护(ip verify source port-security)才能生效。


DAI非信任端口:在将arp数据包转发出去,使其更新本地arp缓存之前,先根据ip与mac地址绑定数据库(show ip dhcp snooping binding)来检

测每个arp数据包合法性。


DHCP侦听的非信任端口:仅可以发送dhcp请求消息,其他dhcp消息丢弃。


ip源防护:基于端口的,绑定表既可以通过DHCP侦听特性进行分发,也可以通过静态配置来实现。在不可信任的dhcp侦听端口启用了ip源防护来预防ip地址欺骗攻击。该端口一开始会阻塞除dhcp数据包以外的所有ip流量。当dhcp或静态获得ip地址生成基于端口的vlan acl(pvlan)和绑定表。该端口只能使用绑定表源ip地址(ip verify source),该端口只能使用绑定表源ip地址和mac地址(ip verify source port-security)否则端口的vlan acl端口acl会丢弃该数据。



4.ip source binding 1111.2222.2222 vlan 100 10.10.44.100 int fa0/14 该命令是不是一定要开启ip 源防护才生效? 答:是的


5.dhcp snooping 、DAI、IPSG 不开启ip dhcp snooping information option命令也可以吧?答:是的


你可能感兴趣的:(DHCP,Snooping,DAI,IPSG)