Dynamic ARP Inspection工作原理及测试是怎样的


今天就跟大家聊聊有关DynamicARPInspection工作原理及测试是怎样的,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。一.工作原理:A.根据DHCP Snooping或手工方式形成的MAC地址与IP地址绑定表,来确定网络中的非法接入的MAC地址B.同时为了防止恶意ARP欺骗,还可以对接口的arp请求包进行限速—测试发现,对于非信任口的arp请求和回复(包括无理arp)都会被丢弃,因此觉得在非信任端口做限速没有多大必要(没有手工修改DHCP绑定表,或用arp access-list做排除的情况)二.测试拓扑:测试交换机IOS:
–Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 12.2(55)SE3, RELEASE SOFTWARE (fc1)三.配置步骤:A.交换机:①全局开启DHCP Snoopingipdhcp snooping②在VLAN 11启用DHCP Snoopingipdhcp snooping vlan 11③指定连接R2(DHCP服务器)的接口为信任接口interface FastEthernet0/2
ip dhcp snooping trust④在VLAN 11开启DAI
ip arp inspection vlan 11B.DHCP服务器配置①设定ip地址池ip dhcp pool dhcppool
network 10.1.1.0 255.255.255.0
default-router 10.1.1.2②信任82选项
interface GigabitEthernet0/0
ip dhcp relay information trusted四.测试:
A.R1和PC1都作为DHCP客户端—这时DHCP Snooping binding表中同时有R1和PC1的mac地址和IP对照表,因此当R1去ping PC1时,PC1的ARP Reply包能够被交换机正常转发,相反也是一样,所以能ping通B.将PC的IP手工指定为DHCP分派之外的其他地址—比如10.1.1.130—这时DHCP Snooping binding表中没有PC1的mac地址和IP对照表,立马报出日志:*Mar 2 00:45:40.424: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/9, vlan 11.([0050.56bc.9f6a/10.1.1.130/0000.0000.0000/10.1.1.130/00:45:40 UTC Tue Mar 2—这时R1 ping PC1不通,在PC1上面抓包,可以看到由R1发出的a免费云主机域名rp请求包,PC也给R1回复了一个arp reply包,但是R1上show arp却没有PC1的arp记录,可见DAI依据DHCP Snooping binding表来判断,如果没有记录的话,则把该端口的arp reply包给丢弃了—如果这时PC1去ping R1的接口地址,不通,在PC上面抓包可以看到,发出的arp request包根本就没有得到回应,在R1上debug也看不到arp request,说明开启DAI后,DAI把没有记录的接口的ARPrequest包也给丢弃了。—可见:交换机对DHCP Snooping绑定表没有记录及没有做特殊设置的接口的ARP回复包和请求包都会丢弃
C.对于DHCNP Snooping binding表没记录的解决方式—R1和PC1虽然都作为DHCP客户端时能互相ping通,但是它们都ping不通10.1.1.2,DHCP服务器的地址。—原因是DAI检查DHCP绑定表没有10.1.1.2的条目,将10.1.1.2回复的ARP Reply包给丢弃了—这时R2上能收到R1和PC1发出的Arp Request包的,所以它的arp缓存里面有R1和PC1对应的条目的—如果R1和PC1上手工添加R2的ARP记录,它们是可以PING通R2的
①指定连接静态IP的设备接口为信任接口SW1(config-if)#ip arp inspection trust
②设定arp access-list,并在vlan arp审查过滤时调用arp access-list testarp
permit ip host 10.1.1.2 mac host 0002.0002.0002
ip arp inspection filter testarp vlan 11 —这个static是可选的,输入和不输入有什么区别没有测试出来—在输入arp access-list名称时是不进行检查的,即使输入不存在的名称,也不做提示③在DHCP Snooping表中增加静态条目
ip source binding 0002.0002.0002 vlan 11 10.1.1.2 interface Fa0/2—增加后可以通过如下命令查看:show ip source binding 显示动态和静态绑定项看完上述内容,你们对DynamicARPInspection工作原理及测试是怎样的有进一步的了解吗?如果还想了解更多知识或者相关内容,请关注云编程开发博客行业资讯频道,感谢大家的支持。

相关推荐: asp+mssql的注入和命令执行是怎样的

asp+mssql的注入和命令执行是怎样的,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。在hw中有遇到一个站点,存在mssql的注入和命令执行漏洞,在进行利用的时候遇到了一些阻碍。…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 02/03 09:15
下一篇 02/03 09:15