Dynamic ARP Inspection

Dynamic ARP Inspection
动态 ARP 监测,这个特性我们最关心的是 arp 数据包,它是一种验证网络中的 arp 包的安全特性,可以阻止,记录,非法更改 ip mac 地址绑定的 arp 数据包。
Dai 是指只有合法的 arp 请求和回应可以传播,交换机会进行如下处理,截取所有非信任的端口的 arp 请求和相应,在更新 arp 缓存中或者数据包验证 ip-mac 绑定是否合法,并且丢弃非法的 arp 包,这样的特性可以防止 arp 中间人攻击,防止用户私自修改 ip 地址和 mac 地址,防止用户私自制定静态 ip 地址,如果一个 arp 请求包,那样 dai 肯定会检查源 mac 地址和 ip 地址,看看这个地址是否和绑定地址一致,如果一致就可以放过通行,如果不一样就放弃,这样一来可以阻止用户私自修改 ip 地址的目的,如果用户修改了 ip ,并且也没有产生冲突,但是也不会通过,那是因为 dhcp 绑定表里面没有它的项目,所以不会被通过,通过这一点我们可以防止用户私自指定 ip 的问题了,可以防止用户更改静态 ip 地址,个人指定的 ip dhcp 绑定表中不存在的,所以是不可以通信,如果你绑定的时候是用的是自动获取 ip ,你在一段时间内还可以上网,这是因为你还在 ip 的租赁期间,等到了相应的时间之后, dhcp 绑定表中就相应的 ip 条目就不存在了。静态的指定那就更上不去了,因为你的条目在 dhcp 绑定表中不存在,通过 dai 特性检测,关键是在绑定表中有没有相关的条目。以上的功能都是居于 arp 请求包,我们在看看回应包,我们从路的这一段看是 arp 请求包,但是从另外一段看的话,那就是回应包了,它到达第一个使用安全特性的端口,也会像检测请求包一样检源 mac ip 地址,这样的话可以保证 ip mac 地址的合法性,正是因为有了这个特性用户不能随意更改 ip mac 地址,即使是修改成功了,那么也上不去网,所以就达到了避免防止中间人攻击。到现在为止,我们看到了,使用了 DHCP Snooping +DAI 后,我们就可以达到:避免非法 DHCP 服务器的冒充;避免用户私自修改 IP 地址或者 MAC 地址;避免用户私自指定静态的 IP 地址;避免中间人攻击。其实,除了第一个 DHCP 服务器的冒充,后面的这 3 个,都是基于 ARP 欺骗的招数。我们都搞定了
 
全局配置模式下: ip arp inspection vlan [id]
定义 DAI 检查数据包的那些部分: ip arp inspection validate [ ]
进入端口,设置成信任的或者是非信任的,同时设置速度的限制。
默认的情况下是不限速的,且是不信任的端口
注: DAI 的支持只有 3560 以上才可以
 

你可能感兴趣的:(dynamic,职场,ARP,休闲,Inspection)