网络工程 - 动态 ARP 检测 + IP 源保护（无 DHCP Snooping） - 吾爱随笔录

动态 ARP 检测 + IP 源保护（无 DHCP Snooping）

网络工程思科转变交换 dhcp 监听

2022-02-07 23:08:41

考虑以下场景

我有 2 个开关，A 和 B 通过 Po1 (LACP) 连接。
为 Switch-A 和 Switch-B 打开了 IP DHCP Snooping。
动态 ARP 检查信任在两台交换机上的 (Ppo1) 上配置。
PC-A 最初连接到 Switch-A（端口 24），它检索从 Switch-A（例如 Router-A）的上行链路分配的 DHCP IP 地址。
DHCP 绑定表 (SwitchA) 填充了 PC-A 绑定。
DHCP 绑定表 (SwitchB)未填充 PC-A 绑定。

......... 一段时间以后 ........

用户移动 PC-A 并将其插入没有 PC-A 绑定信息的 Switch-B。PC-A 尝试与 Switch-A 上的 PC-B 通信。

假设 PC-A 和 Switch-B 的 MAC 表中有 PC-B 的 MAC 地址。当 Switch A 收到来自 Po1 的数据包/帧（来自 PC-A 通过 SwitchB）时会发生什么？-- Switch-A 在端口 24 上绑定了 PC-A，但也信任 Po1。

PC-A 移到 Switch-B 后能否与 PC-B 通信？

1个回答

动态 ARP 检测和 IP 源保护需要 DHCP Snooping 才能发挥作用。

假设您没有在交换机之间配置信任，会发生什么情况，PC-A 在连接到 Switch-B 时将无法工作，因为 Switch-A 知道 PC-A 的 IP 地址仅属于它所连接的原始接口在开关-A 上。

每台交换机上的 DHCP Snooping 独立于另一台交换机；交换机不共享此信息。您在每台交换机上配置它，并在交换机之间配置信任。然后每个交换机为连接到自己的设备管理这个，并相信另一个交换机也在做同样的事情。

编辑：

你真的改变了这个问题。（错误的形式；您应该提出一个新问题，而不是更改已经回答的原始问题。如果您想要讨论，请使用网络工程聊天，因为这不是讨论论坛。）

如果 PC-A（最初在 Switch-A 上）移动到 Switch-B，并且交换机之间存在信任，那么 PC-A 将继续正常工作。Switch-B 最初在其数据库中没有 PC-A，现在有了，并且 Switch-A 信任来自 Switch-B 的流量。

笔记：

交换机有 MAC 地址表，但 PC 没有。PC 是第 3 层设备，它们维护 ARP 表，而交换机作为第 2 层设备则没有。交换机有 MAC 地址表来告诉它们 MAC 地址属于哪些接口，而 PC 有 ARP 表来告诉它们哪个 MAC 地址属于哪个 IP 地址。每次在接口上接收到帧时，都会更新交换机 MAC 地址表。

其它你可能感兴趣的问题

上一篇Cisco asa 5510 上的故障 acl-drop 数据包下一篇Cisco 1900 系列中的 VRRP 或 Carp