Перейти к содержанию

8.7 Настройка ARP Inspection

ip arp inspection

Синтаксис команды

1
2
ip arp inspection
no ip arp inspection

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим глобальной настройки.
Уровень доступа: 13

Указания по применению

Используйте команду «ip arp inspection» для включения ARP Inspection на устройстве. Используйте команду «no ip arp inspection» для отключения ARP Inspection. По умолчанию ARP Inspection отключен. Если порт настроен как недоверенный (untrusted), то его также необходимо настроить как недоверенный для DHCP Snooping, либо настроить статические привязки IP-адреса источника и MAC-адреса источника. В противном случае устройства, подключенные к этому порту, не смогут отвечать на ARP-запросы.

Примеры

Пример показывает, как включить ARP Inspection на устройстве:

1
2
3
# configure terminal
(config)# ip arp inspection
(config)#

ip arp inspection check-vlan

Синтаксис команды

1
2
ip arp inspection check-vlan
no ip arp inspection check-vlan

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 13

Указания по применению

Используйте команду «ip arp inspection checkvlan» для включения проверки VLAN механизмом ARP Inspection. Используйте команду «no ip arp inspection check-vlan» для отключения проверки.По умолчанию проверка VLAN отключена.

Примеры

Пример показывает, как включить проверку VLAN механизмом ARP Inspection на интерфейсе gigabitethernet 1/1:

1
2
3
4
# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# ip arp inspection check-vlan
(config-if)#

ip arp inspection entry

Синтаксис команды

1
2
ip arp inspection entry interface port_type in_port_type_id vlan_var mac_var ipv4_var
no ip arp inspection entry interface port_type in_port_type_id vlan_var mac_var ipv4_var

Описание синтаксиса

Параметр Описание
port_type тип порта (Giga или 25GigabitEthernet).
in_port_type_id идентификатор порта в формате «номер коммутатора/номер порта».
vlan_var идентификатор VLAN в диапазоне от 1 до 4095.
mac_var MAC-адрес источника в пакетах запросов ARP.
ipv4_var IP-адрес источника в пакетах запросов ARP.

Режим команды: Режим глобальной настройки.
Уровень доступа: 13

Указания по применению

Используйте команду «ip arp inspection entry» для добавления статической ARPпривязки. Используйте команду «no ip arp inspection entry» для удаления статической ARP-привязки.По умолчанию cтатические ARP-привязки отсутствуют.

Примеры

Пример показывает, как создать статическую ARP-привязку для MAC-адреса «00:1A:4D:2D:C2:6A» и IP-адреса 192.168.0.100 на VLAN 5 интерфейса gigabitethernet 1/1:

1
2
3
# configure terminal
(config)# ip arp inspection entry interface GigabitEthernet 1/1 5 00:1A:4D:2D:C2:6A 192.168.0.100
(config)#

ip arp inspection logging

Синтаксис команды

1
2
ip arp inspection logging {deny | permit | all}
no ip arp inspection logging

Описание синтаксиса

Параметр Описание
deny журналирование событий запрета прохождения пакета ARP.
permit журналирование событий разрешения прохождения пакета ARP.
all журналирование всех событий.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 13

Указания по применению

Используйте команду «ip arp inspection logging» для установки режима журналирования ARP Inspection на интерфейсе. Используйте команду «no ip arp inspection logging» для отключения журналирования ARP Inspection на интерфейсе. По умолчанию журналирование ARP Inspection отключено.

Примеры

Пример показывает, как установить режим журналирования событий запрета прохождения пакета ARP на интерфейсе gigabitethernet 1/1:

1
2
3
4
# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# ip arp inspection logging deny
(config-if)#

ip arp inspection translate

Синтаксис команды

1
ip arp inspection translate [ interface port_type in_port_type_id vlan_var mac_var ipv4_var ]

Описание синтаксиса

Параметр Описание
port_type (oпционально) тип порта ( Giga или 25GigabitEthernet).
in_port_type_id (oпционально) идентификатор порта в формате «номер коммутатора/номер порта».
vlan_var (oпционально) идентификатор VLAN в диапазоне от 1 до 4095.
mac_var (oпционально) MAC-адрес источника в пакетах запросов ARP.
ipv4_var (oпционально) IP-адрес источника в пакетах запросов ARP.

Режим команды: Режим глобальной настройки.
Уровень доступа: 13

Указания по применению

Используйте команду «ip arp inspection translate» для преобразования динамических привязок ARP в статические. Если команда введена без аргументов, то происходит преобразование всех динамических привязок.

Примеры

Пример показывает, как преобразовать все динамические привязки ARP в статические:

1
2
3
# configure terminal
(config)# ip arp inspection translate
(config)#

ip arp inspection trust

Синтаксис команды

1
2
ip arp inspection trust
no ip arp inspection trust

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 13

Указания по применению

Используйте команду «ip arp inspection trust» для установки доверенного режима ARP Inspection на интерфейсе. Используйте команду «no ip arp inspection trust» для установки недоверенного режима ARP Inspection на интерфейсе. По умолчанию интерфейс является доверенным. Устройство не проверяет ARPпакеты, полученные на доверенных интерфейсах, а только перенаправляет их дальше. На недоверенных интерфейсах устройство перехватывает ARP-пакеты и проверяет соответствие MACадреса источника и IP-адреса назначения. Пакеты, не отвечающие требованиям, отбрасываются, и устройство генерирует соответствующее сообщение (если генерация сообщений включена).

Примеры

Пример показывает, как установить доверенный режим на интерфейсе gigabitethernet 1/1:

1
2
3
4
# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# ip arp inspection trust
(config-if)#

ip arp inspection vlan

Синтаксис команды

1
2
ip arp inspection vlan in_vlan_list
no ip arp inspection vlan in_vlan_list

Описание синтаксиса

Параметр Описание
in_vlan_list список VLAN в диапазоне от 1 до 4095.

Режим команды: Режим глобальной настройки.
Уровень доступа: 13

Указания по применению

Используйте команду «ip arp inspection vlan» для включения ARP Inspection на VLAN. Используйте команду «no ip arp inspection vlan» для отключения ARP Inspection на VLAN. По умолчанию ARP Inspection отключен на всех VLAN.

Примеры

Пример показывает, как включить ARP Inspection на VLAN 5:

1
2
3
# configure terminal
(config)# ip arp inspection vlan 5
(config)#

ip arp inspection vlan logging

Синтаксис команды

1
2
ip arp inspection vlan in_vlan_list logging {deny | permit | all }
no ip arp inspection vlan in_vlan_list logging

Описание синтаксиса

Параметр Описание
in_vlan_list список VLAN в диапазоне от 1 до 4095.
deny журналирование событий запрета прохождения пакета ARP.
permit журналирование событий разрешения прохождения пакета ARP.
all журналирование всех событий.

Режим команды: Режим глобальной настройки.
Уровень доступа: 13

Указания по применению

Используйте команду «ip arp inspection vlan logging» для установки режима журналирования ARP Inspection на VLAN. Используйте команду «no ip arp inspection vlan logging» для отключения журналирования ARP Inspection на VLAN. По умолчанию урналирование ARP Inspection отключено.

Примеры

Пример показывает, как установить режим журналирования событий запрета прохождения пакета ARP на VLAN 5:

1
2
3
# configure terminal
(config)# ip arp inspection vlan 5 logging deny
(config)#

show ip arp inspection

Синтаксис команды

1
show ip arp inspection [ interface port_type [ in_port_type_list ] | vlan in_vlan_list ]

Описание синтаксиса

Параметр Описание
port_type (oпционально) тип порта (Giga или 25GigabitEthernet).
in_port_type_list (oпционально) список номеров портов, например: 1/1,2-10.
in_vlan_list (oпционально) идентификатор VLAN в диапазоне от 1 до 4095.

Режим команды: Фундаментальный режим.
Уровень доступа: 0

Указания по применению

Используйте команду «show ip arp inspection» для вывода настроек ARP Inspection. Если команда введена без аргументов, то просходит вывод всех настроек.

Примеры

Пример показывает, как вывести настройки ARP Inspection:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
# show ip arp inspection
ARP Inspection Mode : disabled
Port                     Port Mode   Check VLAN  Log Type
----                     ---------   ----------  --------
GigabitEthernet 1/1       disabled    enabled     DENY
GigabitEthernet 1/2       disabled    disabled    NONE
GigabitEthernet 1/3       disabled    disabled    NONE
GigabitEthernet 1/4       disabled    disabled    NONE
GigabitEthernet 1/5       disabled    disabled    NONE
GigabitEthernet 1/6       disabled    disabled    NONE
GigabitEthernet 1/7       disabled    disabled    NONE
GigabitEthernet 1/8       disabled    disabled    NONE
GigabitEthernet 1/9       disabled    disabled    NONE
GigabitEthernet 1/10      disabled    disabled    NONE
...
VLAN    VLAN mode  VLAN Log Type
----    ---------  -------------
5       enabled    DENY
#

show ip arp inspection entry

Синтаксис команды

1
show ip arp inspection entry [dhcp-snooping | static] [interface port_type [in_port_type_list ]]

Описание синтаксиса

Параметр Описание
dhcp-snooping (oпционально) вывод динамических записей, сформированных из информации от DHCP Snooping.
static (oпционально) вывод статических записей ARP.
port_type (oпционально) тип порта (Giga или 25GigabitEthernet).
in_port_type_list (oпционально) список номеров портов, например: 1/1,2-10.

Режим команды: Фундаментальный режим.
Уровень доступа: 0

Указания по применению

Используйте команду «show ip arp inspection entry» для вывода статических ARP-привязок. Если команда введена без аргументов, то просходит вывод всех привязок.

Примеры

Пример показывает, как вывести статические ARP-привязки:

1
2
3
4
5
# show ip arp inspection entry
Type    Port     VLAN  MAC Address        IP Address
----    ----     ----  -----------        ----------
Static  Gi 1/1      5  00-1a-4d-2d-c2-6a  192.168.0.100
#