Dynamic ARP Inspection

Dynamic ARP Inspection

动态 ARP 监测，这个特性我们最关心的是 arp 数据包，它是一种验证网络中的 arp 包的安全特性，可以阻止，记录，非法更改 ip 和 mac 地址绑定的 arp 数据包。

Dai 是指只有合法的 arp 请求和回应可以传播，交换机会进行如下处理，截取所有非信任的端口的 arp 请求和相应，在更新 arp 缓存中或者数据包验证 ip-mac 绑定是否合法，并且丢弃非法的 arp 包，这样的特性可以防止 arp 中间人攻击，防止用户私自修改 ip 地址和 mac 地址，防止用户私自制定静态 ip 地址，如果一个 arp 请求包，那样 dai 肯定会检查源 mac 地址和 ip 地址，看看这个地址是否和绑定地址一致，如果一致就可以放过通行，如果不一样就放弃，这样一来可以阻止用户私自修改 ip 地址的目的，如果用户修改了 ip ，并且也没有产生冲突，但是也不会通过，那是因为 dhcp 绑定表里面没有它的项目，所以不会被通过，通过这一点我们可以防止用户私自指定 ip 的问题了，可以防止用户更改静态 ip 地址，个人指定的 ip 在 dhcp 绑定表中不存在的，所以是不可以通信，如果你绑定的时候是用的是自动获取 ip ，你在一段时间内还可以上网，这是因为你还在 ip 的租赁期间，等到了相应的时间之后， dhcp 绑定表中就相应的 ip 条目就不存在了。静态的指定那就更上不去了，因为你的条目在 dhcp 绑定表中不存在，通过 dai 特性检测，关键是在绑定表中有没有相关的条目。以上的功能都是居于 arp 请求包，我们在看看回应包，我们从路的这一段看是 arp 请求包，但是从另外一段看的话，那就是回应包了，它到达第一个使用安全特性的端口，也会像检测请求包一样检源 mac 和 ip 地址，这样的话可以保证 ip 和 mac 地址的合法性，正是因为有了这个特性用户不能随意更改 ip 和 mac 地址，即使是修改成功了，那么也上不去网，所以就达到了避免防止中间人攻击。到现在为止，我们看到了，使用了 DHCP Snooping +DAI 后，我们就可以达到：避免非法 DHCP 服务器的冒充；避免用户私自修改 IP 地址或者 MAC 地址；避免用户私自指定静态的 IP 地址；避免中间人攻击。其实，除了第一个 DHCP 服务器的冒充，后面的这 3 个，都是基于 ARP 欺骗的招数。我们都搞定了

 

全局配置模式下： ip arp inspection vlan [id]

定义 DAI 检查数据包的那些部分： ip arp inspection validate [ ]

进入端口，设置成信任的或者是非信任的，同时设置速度的限制。

默认的情况下是不限速的，且是不信任的端口

注： DAI 的支持只有 3560 以上才可以