Попытки тестирования связки DHCP Snooping, IP Source Guard, Dynamic ARP Inspection выявили неработоспособность принтера hp laserjet 3055. В логах коммутатора имеем:
В его сетевом отчете было сказано, что для получения адреса он выбрал метод BOOTP. Пришлось отключать.
Как это было:
Соответственно, в отчете принтера появился срок аренды адреса, используемый в базе snooping'а на коммутаторе
%SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa1/0/5, vlan 202.([0018.fea2.d7e3/10.0.0.45/[skip]
В его сетевом отчете было сказано, что для получения адреса он выбрал метод BOOTP. Пришлось отключать.
Как это было:
ip dhcp snooping vlan 202-203
no ip dhcp snooping information option
ip dhcp snooping database flash:/snoop
ip dhcp snooping
ip arp inspection vlan 202
ip arp inspection validate src-mac dst-mac ip
macro name users_security
switchport access vlan 202
switchport mode access
switchport voice vlan 203
spanning-tree portfast
spanning-tree bpduguard enable
ip verify source port-security
no ip arp inspection trust
no ip dhcp snooping trust
@
switch(config)#interface FastEthernet1/0/5
switch(config-if)#macro apply users_security
switch#sh run int FastEthernet1/0/5
Building configuration...
Current configuration : 202 bytes
!
interface FastEthernet1/0/5
switchport access vlan 202
switchport mode access
switchport voice vlan 203
spanning-tree portfast
spanning-tree bpduguard enable
ip verify source port-security
end
switch#show ip source binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:18:FE:A2:D7:E3 10.0.0.45 691192 dhcp-snooping 202 FastEthernet1/0/5
switch#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ----------
Fa1/0/5 ip-mac active 10.0.0.45 permit-all 202
Fa1/0/5 ip-mac active deny-all permit-all 203
Соответственно, в отчете принтера появился срок аренды адреса, используемый в базе snooping'а на коммутаторе