动态ARP检测(DAI)介绍
动态arp检测(DAI),是一种验证网络中arp报文的安全特性。启用DAI的端口会检测所有arp报文,转发合法的arp报文,对于违规的arp报文进行拦截、记录和丢弃,这样就有效的防范了ARP攻击以及ARP欺骗。
DAI技术会根据dhcp监听生成的dhcp绑定表以及IP源防护中静态配置的静态IP源绑定表的内容对ARP报文进行检测。当arp报文中的MAC地址和IP 地址的绑定关系和dhcp监听绑定表或IP源防护配置的静态绑定条目不匹配,或者arp报文进入的端口、VLAN等信息与绑定表中的条目不匹配,则该arp报文为违规报文,交换机将丢弃报文并记录违规行为。对于端口还可以设定arp报文速率,当端口接收到的arp报文速率超出规定值时,交换机会将端口设置为err-disabled状态。
与dhcp监听类似,DAI也将交换机端口分为信任端口和非信任端口,交换机之间互联链路为信任链路,用户端口为非信任端口。交换机检测非信任端口的所有arp报文。
使用静态IP地址的服务器如果连接在非信任端口,则需要配置静态IP源防护绑定表,另外dhcp服务器的端口需要配合dhcp监听信任端口。
由于启用DAI的交换机端口会将该端口接收到的所有arp数据包都交由CPU进行处理,所以当arp报文较多时,将会大量消耗cpu资源。当开始应用DAI时,交换机会记录大量报文,端口报文过多时,交换机可能会认为端口受到攻击而将端口置为err-disabled状态造成通信中断,这时需要设置端口err-disabled恢复的愿意,然后在配置自动恢复时间。
注意:目前之后三层交换机才支持DAI技术,而且建议交换机型号是4系列以上的交换机。
动态arp检测配置
1) 在指定的vlan启用DAI
默认情况下,所有vlan均没有启用DAI,若要配置在某vlan中启用DAI可以使用如下命令。
Switch(config)#ip arp inspection vlan 10
2) 配置信任接口
在某vlan启用DAI后,属于该vlan的端口均为非信任状态,若要配置端口为信任端口,在端口模式中使用如下命令。
Switch(config)#ip arp inspection trust
3) 限制入站APP报文速率
使用DAI还可以限制端口接收APP报文的速率
Switch(config)#ip arp inspection limit rate 20
4) 查看DAI相关配置与状态
查看启用DAI相关配置与状态
Switch#show ip arp inspection interfaces
查看启用DAI的vlan相关信息
Switch#show ip arp inspection vlan 10
查看启用DAI的vlan中数据包信息(包括转发、丢弃的数量等)
Switch#show ip inspection statistics vlan10
另外,可以直接使用show ip arp inspection 查看整体情况