dhcp snooping ipsg dai一些應用經(jīng)驗

1、DHCPsnooping、IPSG、DAI的一些使用經(jīng)驗源自于一次客戶的需求，客戶網(wǎng)絡中員工使用的都是靜態(tài)IP，沒有DHCP，客戶的需求是，防止外來電腦設定一個內(nèi)網(wǎng)IP，就能夠訪問內(nèi)網(wǎng)的資源，但是客戶靜態(tài)IP的合法用戶并不固定端口，也就是說合法的靜態(tài)IP用戶會抱著筆記本一會兒接這個端口，一會兒接那個端口，那么IP跟mac的綁定就不能與端口相關聯(lián)起來。借這個機會研究了一下DHCPsnooping、IPSG、DAI，在經(jīng)過很多測試實驗之后，

2、找到了解決方法，也總結(jié)了些學習經(jīng)驗。一、剛開始試了DAI，開啟dhcpsnooping的情況下，，DAI會根據(jù)這個DHCPsnooping的binding列表來檢查端口來檢查源arp包，但是客戶沒有dhcpserver，做靜態(tài)綁定的話又必須要跟接口關聯(lián)Switch(config)#ipsourcebinding1111.1111.1111vlan11.1.1.10interfacebindinginterface但是客戶需要又不能跟接口

3、關聯(lián)，所以這個binding表是空的，那豈不就是誰都無法接入，之后試了一下，發(fā)現(xiàn)只開啟DAI，而不開啟dhcpsnooping，這樣，DAI不會檢查dhcpbinding表，而是匹配arp表轉(zhuǎn)發(fā)，所以，只要手工寫arp表項就好了，而且在開啟DAI情況下，untrust接口不會學習arp，也就是說，一臺陌生的pc接入網(wǎng)絡，交換機不會將陌生pc的mac地址學來，而是會在手工寫的mac地址表里面找條目，有他的mac地址，這臺PC就能訪問網(wǎng)絡，

4、沒有，這臺pc就不能訪問網(wǎng)絡，與接口無關。測試過程如下，交換機vlan1的SVI接口地址是1.1.1.1，pc地址是1.1.1.10，Switch(config)#iparpinspectionvlan1Switch(config)#arp1.1.1.1060eb.69eb.b6ffARPASwitch(config)#arp1.1.1.202222.2222.2222ARPA總共就配這兩條命令，pc長ping1.1.1.1，可以通雖然

5、沒有開dhcpsnooping，但是還是show一下binding表，是空的查看arp表項，有手工寫的arp表項，1.1.1.10對應我的mac我再no掉手工寫的arp表項Switch(config)#noarp1.1.1.1060eb.69eb.b6ffARPA查看arp表項，1.1.1.10對應的mac變成了incomplete，交換機不會自動學習陌生的這個是我的MAC地址這個是我隨便加一個條目做測試二、接著，我又試驗了IPSG同樣

6、先不配置dhcpsnooping，只配置IPSGSwitch(config)interfaceFastEther01Switch(configif)switchptmodeaccessSwitch(configif)switchptptsecuritySwitch(configif)ipverifysource然后cleararp清空一下mac表現(xiàn)在mac表項是沒有我的mac記錄的，我再ping1.1.1.1通了，查看一下arp表項交換

7、機學到了我的mac地址，并且記錄到了mac地址表中。只開啟IPSG的話，交換機還是會學習陌生的mac地址進行轉(zhuǎn)發(fā)，所以IPSG不能達到客戶這種需求。還發(fā)現(xiàn)一個問題，配置完整的DHCPsnooping與IPSG，我用手工綁定mac、IP和接口Switch(config)ipsourcebinding60EB.69EB.B6FFvlan11.1.1.10interfaceFa01這時候pc接入交換機F01接口，可以訪問網(wǎng)絡，但是查看bind