DAI e piccole domande su architettura "particolare"

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
lynx_deb
n00b
Messaggi: 13
Iscritto il: ven 24 feb , 2006 1:37 am
Località: Roma
Contatta:

Ciao a tutti,

sto configurando il Dynamic ARP Inspection più delle ACL di l2 (avendo mezza rete statica e mezza dinamica).

La struttura è attualmente divisa in un core switch (che fa anche da router) e N access switch che hanno le varie VLAN e sono interconnesse al core switch con dei port-channel.

Sta di fatto, che tutta la tabella di MAC e DHCP snooping è impostata sul core switch. Avendo visto gli esempi, tutti si basano su un solo switch, quindi sto cercando di capire come applicarla sulla mia infrastruttura.

Ho tutt'ora configurato il DAI sul core switch e sembra funzionare, o almeno mi passa tutti i pacchetti giusti e scarta quelli non validi (o non presenti nella dhcp snooping table). Devo fare qualcosa sugli access switch? Dato che essi non hanno tabelle di ARP in locale (fatta eccezione per la port security)?

Inoltre, mettendo il comando "ip arp inspection validate src-mac ip dst-mac", dopo un pò mi butta giù le porte di trunk dello switch per "err-disable", non posso fare validation sui dst-mac con questa tipologia di rete?


Grazie!
Rispondi