Comme son nom l'indique, l'ARP inspection va s'occuper de vérifier les paquets ARP.
Petit rappel : ARP est le protocole qui permet à partir d'une IP d'obtenir l'adresse MAC correspondante, c'est donc une brique essentielle pour le fonctionnement des LANs.
ARP est remplacé dans IPv6 par des messages spécifiques du protocole ICMPv6
Je vous invite donc à effectuer le mini TP (si ce n'est pas dejà fait) : DHCP snooping, et une fois arrivés à la fin de revenir ici.
Donc si vous vous souvenez bien, grace au DHCP snooping on récupère une association IP-MAC : c'est de cela dont on va se servir.
Tout d'abord adressez-vous en statique sur votre PC et vérifier que vous avez bien la connectivité entre vos deux PC et avec le serveur DHCP. (Prenez des adresses qui sont éloignées des premières adresses que le serveur DHCP distribue)
Maintenant on active l'ARP inspection sur le switch :
(config)# ip arp inspection vlan 1
(config)#
Et sur les interfaces d'interconnexion entre les deux switchs :
(config-interface)# ip arp inspection trust
Maintenant testez la connectivité, observez les logs, observez également ce que peut vous montrer le service d'ARP inspection :
# show ip arp inspection ?
Le switch bloque donc les réponses ARP qui indiquent une association MAC-IP que le switch ne connait pas, autrement dit qu'il ne trouve pas dans la table des bindings récupérés par le DHCP snooping. On force donc les utilisateurs à utiliser l'IP donnée par le DHCP.
On peut également déclarer des associations MAC-IP au switch autrement qu'en utilisant le DHCP snooping
Vérifier que l'adressage en DHCP fonctionne et que vous pouvez bien utiliser les adresses IP fournies.
La commande ip arp inspection trust
permet de demander au switch d'accepter toutes les réponses ARP qui proviennent de cette interface. On l'a fait ici sur l'interconnexion entre les deux switchs, puisqu'on vérifie déjà sur chaque switch les réponses ARP (pas besoin de vérifier deux fois). Cela permet également de laisser passer les réponses ARP émises par l'interface virtuelle.
L'ARP inspection bloque uniquement les réponses ARP incorrectes, donc vous pouvez toujours envoyer du trafic avec la mauvaise IP, (puisque vous pouvez recevoir des réponses correctes) cependant vous ne pouvez pas recevoir du trafic (puisque les machines ne pourront pas connaitre votre adresse MAC, en particulier le routeur).
Félicitations vous avez découvert DHCP snooping et ARP inspection qui nous permettent de nous assurer que les utilisateurs utilisent les IPs qu'on leur attribue et pas autre chose.