Главная

Форумы

Истории

База знаний

Business Community > Коммутаторы для бизнеса > ip arp inspection

< Коммутаторы для бизнеса

ip arp inspection

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.

ip arp inspection

altlc

2022-11-28 12:50:27

Посты: 3

Полезный: 0

Решения: 0

Истории: 0

Дата регистрации: 2022-11-28

ip arp inspection

2022-11-28 12:50:27

Модель: TL-SG3428

Аппаратная версия: V2

Версия прошивки: 2.0.9 Build 20221021 Rel.62172

Настравиваю IPMB, задача проверять только ip не учитывая мак:

ip source binding "3" 10.203.1.117 00:00:00:00:00:00 vlan 10 interface gigabitEthernet 1/0/3 both
ip source binding "5" 10.203.1.119 00:00:00:00:00:00 vlan 10 interface gigabitEthernet 1/0/5 both

ip verify source logging

ip arp inspection
ip arp inspection validate ip
ip arp inspection vlan 10
ip arp inspection vlan 10 logging

Клиент:

interface gigabitEthernet 1/0/3
switchport general allowed vlan 10 untagged
switchport pvid 10
mac address-table max-mac-count max-number 10 exceed-max-learned enable
storm-control broadcast 64
storm-control multicast 64
storm-control unicast 64
ip dhcp filter
ip dhcp filter limit rate 5
ip dhcp filter decline rate 5
ip verify source sip
ip arp inspection limit-rate 10
ip arp inspection burst-interval 5

no lldp receive
no lldp transmit
ip dhcp relay information option
ip dhcp relay information strategy replace
loopback-detection config process-mode vlan-based recovery-mode auto
ipv6 dhcp snooping max-entries 10
ipv6 nd snooping max-entries 10
ipv6 dhcp filter
ipv6 dhcp filter limit rate 10
ipv6 dhcp filter decline rate 10
#

Аплинк:

interface gigabitEthernet 1/0/25
switchport general allowed vlan 10,500-501 tagged
switchport acceptable frame tagged
qos trust mode dot1p
ip arp inspection trust

no ipv6 mld snooping
ethernet-oam
#

Как итог:

#2022-11-28 15:47:04,[ARP&IP Defend]/3/Dropped ARP request PKT SMAC d8:cb:8a:cf:87:38 DMAC ff:ff:ff:ff:ff:ff SDMAC d8:cb:8a:cf:87:38 SDIP 10.203.1.117 TMAC 00:00:00:00:00:00 TIP 10.203.0.1 on Gi1/0/3 in vlan 10, due to - IMPB MATCH FAILURE.
#2022-11-28 15:46:34,[ARP&IP Defend]/3/Dropped ARP request PKT SMAC d8:cb:8a:cf:87:38 DMAC ff:ff:ff:ff:ff:ff SDMAC d8:cb:8a:cf:87:38 SDIP 10.203.1.117 TMAC 00:00:00:00:00:00 TIP 10.203.0.1 on Gi1/0/3 in vlan 10, due to - IMPB MATCH FAILURE.
#2022-11-28 15:46:04,[ARP&IP Defend]/3/Dropped ARP reply PKT SMAC d8:cb:8a:cf:87:38 DMAC 28:8a:1c:09:26:41 SDMAC d8:cb:8a:cf:87:38 SDIP 10.203.1.117 TMAC 28:8a:1c:09:26:41 TIP 10.203.0.1 on Gi1/0/3 in vlan 10, due to - IMPB MATCH FAILURE.

Если выключить ip arp inspection, то начинает рабоать.

Как поправить данное поведение?

3 Ответить

Eraf

2022-11-30 12:48:32

Посты: 385

Полезный: 13

Решения: 1

Истории: 0

Дата регистрации: 2017-12-08

Re:ip arp inspection

2022-11-30 12:48:32

@altlc

Здравствуйте,

Если вы собираетесь по DHCP заполнять impb, то используйте просто dhcp snooping вместо dhcp filter. Вместо ARP Inspection делайте source guard по ip (ip verify source sip).
Да если вручную даже, то всё равно source guard лучше. Вам ведь не ARP проверять нужно.

altlc

LV1

2022-11-30 13:00:51 - last edited 2022-11-30 13:02:17

Посты: 3

Полезный: 0

Решения: 0

Истории: 0

Дата регистрации: 2022-11-28

Re:ip arp inspection

2022-11-30 13:00:51 - last edited 2022-11-30 13:02:17

Заполнять буду руками(скриптом) У нас просто есть и dhсp клиенты и те кто статикой прописывает у себя Ip.

Хотелось бы проверить и arp, чтобы человек, если прописшет у себя руками чужой ip, то и сети у него не должно быть и не появлялся конфликт ip у реального владельца Ip.

Т.е. фактически мне нужно поверить и ip адрес пакетов и отсеять левые arp ответы.

reaper_ru

2022-12-02 15:22:16

Посты: 953

Полезный: 41

Решения: 8

Истории: 0

Дата регистрации: 2017-06-03

Re:ip arp inspection

2022-12-02 15:22:16

Вручную задаём записи, которые нужны в source binding ip verify source sip на портах всё работает, как описано выше, т.е. клиент с левым IP не имеет доступа никуда, в то время как это никак не влияет на другого клиента, никакого конфликта нет. 2022-12-02 18:58:26,[ARP&IP Defend]/3/IP Source Guard dropped IP frame SMAC 54:ee:75:2e:1c:c7 SIP 172.18.0.8 revieved on interface Gi1/0/7.

ip arp inspection

ip arp inspection

Информация

Избиратели 0

Теги