使用 DHCP VLAN 上的静态设备进行 IP Snooping\ARP 检查

网络工程 dhcp ARP dhcp 监听
2022-03-04 13:02:55

考虑这个网络:在此处输入图像描述

我在我的系统上启用了 DHCP 侦听。交换机 A 已连接 DHCP,并且 VLAN 70 上用于 DHCP 的端口已被信任以允许读取数据库和传递地址。VLAN 70 通过光纤中继到交换机 B,VLAN 70 上的客户端在端口 10 上连接。中继线在任一端也受到信任,以允许启用侦听。我也ip arp inspection vlan 70只在 SWITCH B 上启用了。

这是问题变得棘手的地方。由于客户端机器的性质,它需要一个静态地址,它具有 192.168.1.10。作为一种保护措施,以防客户端上的网络重置 DHCP 为该设备上的设备保留了相同的地址。

我面临的问题是,因为我在设备上启用了监听和 arp 检查,所有 DHCP 客户端在交换机 B 上进入网络都没有问题。但是具有静态地址的客户端没有连接。它显示为身份不明的网络。ARP 检查在端口上发送一个 SYSLOG 条目,带有DAI-4DHCP_SNOOPING_DENY. 如果我关闭 ARP 检查,系统日志条目就会消失,但我仍然无法获得有效连接。我缺少什么让我的静态客户端获得有效连接?

我可以说我已经arp access-list为该客户端尝试了一个条目,但没有为连接做任何事情。

Switch B 启用了以下命令:

ip dhcp snooping
ip dhcp snooping vlan 70
int range gi1-24 ip verify source
ip arp inspection vlan 70

交换机 A 有ip dhcp snooping trustDHCP 服务器端口和中继,但没有启用监听。

2个回答

如果设备有保留,您应该启用 DHCP,以便它从服务器获取正确的地址。

如果您无法在设备上启用 DHCP,您可以在 snooping 数据库中创建静态绑定:

ip dhcp snooping binding 0000.1111.2222 vlan 70 192.0.2.1 interface  gi 1/0/1

感谢 Ron 在我们解决这个问题时给予的帮助和理解。因为ip arp inspection必须绑定到特定端口,所以我们无法做到这一点。将我们客户端上的 IP 地址更改为 DHCP 并将 DHCP 租约延长到更长的时间,a 允许我们继续ip dhcp snooping在所有用户 VLAN 上ip arp inspection运行,并继续在所有 DHCP VLAN 上运行,但不包括静态 VLAN。我了解 DAI,但由于需要和要求,将它放在所有用户 VLAN 中是没有意义的。

其它你可能感兴趣的问题
上一篇已发布 BGP 路由但无法 Ping 下一篇网络交换机如何识别连接的设备已开启?