ARP Inspection w mieszanym środowisku

Problemy związane ze switchingiem
ODPOWIEDZ
Wiadomość
Autor
pkurzak
member
member
Posty: 17
Rejestracja: 01 lis 2007, 17:30

ARP Inspection w mieszanym środowisku

#1

#1 Post autor: pkurzak »

Konfiguruję arp inspection na 2960 według opisu:

http://www.cisco.com/en/US/docs/switche ... ynarp.html

Wszystko w miarę jasno opisane ale nie mogę znaleźć odpowiedzi na jedno pytanie - czy dla hostów podłączonych do tego 2960 i posiadających statyczne IP mam tworzyć arp access-list tak, jak to opisano w części Configuring ARP ACLs for Non-DHCP Environments? Jeżeli tak, to biorąc pod uwagę to:
Dynamic ARP inspection uses the DHCP snooping binding database for the list of valid IP-to-MAC address bindings.

ARP ACLs take precedence over entries in the DHCP snooping binding database. The switch uses ACLs only if you configure them by using the ip arp inspection filter vlan global configuration command. The switch first compares ARP packets to user-configured ARP ACLs. If the ARP ACL denies the ARP packet, the switch also denies the packet even if a valid binding exists in the database populated by DHCP snooping.
Czy w takim przypadku konfigurowanie tego w moim środowisku ma sens? Nie wiem, czy dobrze zrozumiałem ale to brzmi jak "albo rybki albo akwarium". Czyli albo wszystkie adresy z DHCP i wtedy korzystamy z DHCP snooping binding database albo wszystkie adresy statyczne i wtedy ARP ACLs.
Na górę
mzb
wannabe
wannabe
Posty: 163
Rejestracja: 16 cze 2009, 14:14

Re: ARP Inspection w mieszanym środowisku

#2

#2 Post autor: mzb »

pkurzak pisze: Czy w takim przypadku konfigurowanie tego w moim środowisku ma sens? Nie wiem, czy dobrze zrozumiałem ale to brzmi jak "albo rybki albo akwarium". Czyli albo wszystkie adresy z DHCP i wtedy korzystamy z DHCP snooping binding database albo wszystkie adresy statyczne i wtedy ARP ACLs.
Dopóki nie użyjesz keyword 'static' na końcu 'ip inspection filter', to najpierw przepuszczane będą w DAI pary ip<>mac z Twojej arp access-list, następnie weryfikowana jest tablica dhcp binding.

Słowo static powoduje:
"(Optional) Specify static to treat implicit denies in the ARP ACL as explicit denies and to drop packets that do not match any previous clauses in the ACL. DHCP bindings are not used."

Pamiętaj, że na końcu arp access-listy obowiązuje deny.

-- M.
Na górę
ODPOWIEDZ

Wróć do „Switching”