DHCP VLAN上静态设备IP窥探\ARP检测

Question

考虑一下这个网络：

我已经启用了DHCP窥探我的系统。交换机A连接了DHCP，VLAN 70上的DHCP端口已被信任，以允许读取数据库和传递地址。VLAN 70通过光纤干线切换B，其中VLAN 70上的客户端连接在端口10上。中继线在两端也被信任，以便允许监听。我还在交换机B上启用了ip arp inspection vlan 70。

这是问题变得棘手的地方。由于客户端机器的性质，它需要具有192.168.1.10的静态地址。作为一种安全措施，如果客户端上的网络重置，DHCP也会将该设备预订到相同的地址。

我面临的问题是，因为我启用了对设备的窥探和arp检查，所有DHCP客户端在交换机B上进入网络都没有问题。但是具有静态地址的客户端没有连接。它正在以不明网络的身份出现。ARP检查是使用DAI-4DHCP_SNOOPING_DENY在端口上发送一个SYSLOG条目。如果我关闭ARP检查，那么syslog条目就会消失，但是我仍然得不到有效的连接。为了让我的静态客户端获得有效的连接，我遗漏了什么？

我可以说，我已经为该客户端尝试过一个arp access-list条目，但这对连接没有起到任何作用。

交换机B启用了以下命令：

ip dhcp snooping
ip dhcp snooping vlan 70
int range gi1-24 ip verify source
ip arp inspection vlan 70

开关A在DHCP服务器端口和主干上有ip dhcp snooping trust，但不具有监听启用功能。

Answer 1

感谢罗恩在我们解决这个问题时所给予的帮助和理解。因为ip arp inspection必须绑定到特定的端口，所以我们无法这样做。将客户端上的IP地址更改为DHCP，并将DHCP租约延长到更长的时间a允许我们在所有用户VLAN上保持ip dhcp snooping运行，并在所有DHCP上保持ip arp inspection运行，而不包括静态VLAN。我理解DAI，但是由于需要和需求，所以把它放在所有的用户VLAN上是没有意义的。

Answer 2

如果设备有预约，则应该启用DHCP，以便从服务器获得正确的地址。

如果无法在设备上启用DHCP，则可以在窥探数据库中创建静态绑定：

ip dhcp snooping binding 0000.1111.2222 vlan 70 192.0.2.1 interface  gi 1/0/1