Dynamic ARP Inspection简介：

Dynamic ARP Inspection（动态ARP检测）功能，简称DAI功能。通过检查ARP（Address Resolution Protocol，地址解析协议）报文的合法性，发现并防止ARP欺骗攻击，增强网络安全性。DAI功能主要分为以下两类：

1.端口DAI功能：对指定端口接收到的ARP报文进行合法性检测，便于发现并防止ARP欺骗攻击；

ARP报文合法性检测的依据为端口IP source Guard绑定表项，具体检测原理：接收到的ARP报文中，发送端IP地址，源MAC地址及VLAN ID与端口IP source Guard绑定表项完全匹配，则该ARP报文为合法报文，对其进行转发；否则，该ARP报文为非法报文，将其丢弃，并记录日志信息。

2.全局DAI功能：对所有端口接收到的ARP报文进行合法性检测，防止伪冒用户发送伪造的ARP报文，导致设备建立错误的ARP表项。

ARP报文合法性检测的依据为全局IP source Guard绑定表项，具体检测原理：接收到的ARP报文中，发送端IP地址与全局IP source Guard绑定表项中的IP地址相同，但源MAC地址不同时，该ARP报文为伪造报文，将其丢弃，不记录日志信息。

端口DAI，全局DAI功能还会对ARP报文进行有效性检测，具体检测原理：接收到的ARP报文中的源MAC地址与发送端的MAC地址不同，则该报文为无效报文，将其丢弃，不记录日志信息。

3.端口ARP攻击检测：对指定端口接收到的ARP报文不进行合法性检测，只记录日志信息，用于发现ARP攻击。

配置端口Dynamic ARP Inspection功能：

配置条件：

在配置端口Dynamic ARP Inspection功能前，首先要完成以下任务：

配置端口IP Source Guard绑定表项。

使能端口DAI功能后，系统会依据端口IP Source Guard绑定表项，对端口接收到的ARP报文进行合法性检测，非法报文会被丢弃，并被记录到日志中。日志中记录的内容包括：VLAN ID，接收端口，发送端IP地址，目的IP地址，发送端MAC地址，目的MAC地址，相同非法ARP报文数。用户可以根据记录的日志信息来作进一步分析，缺省情况下，日志信息周期性输出，可通过配置日志输出间隔时间来控制报文的记录，输出及老化。日志输出间隔时间作为以下日志相关参数的基础值：

1.日志刷新周期：用于判断日志是否需输出及老化。如果配置的日志输出间隔时间小于5秒，则日志刷新周期等于1秒，否则，日志刷新周期等于五分之一的日志输出间隔时间；

2.日志老化时间：老化时间超时后，日志会被删除。日志老化时间为两倍的日志输出间隔时间；

3.日志令牌：日志刷新周期内，允许记录最大的日志数目。日志令牌数为15倍的日志刷新周期值。

使能端口DAI功能后，还可以配置端口ARP限速功能，即对每秒处理的ARP报文数目进行限制，避免系统由于长期处理大量ARP报文，导致其他协议报文无法及时得到处理。

说明：

端口ARP限速功能，即对每秒处理的ARP报文数目进行限制，避免系统由于长期处于大量ARP报文，导致其他协议报文无法及时得到处理。一秒内接收到的ARP报文数目超过速率上限值后，这一秒内后续接收到的ARP报文会被丢弃。如果端口连续20秒接收到的ARP报文都超速，则会将相应的端口关闭，来隔离报文冲击源。

进入二层以太接口配置模式：interface interface-name

使能端口DAI功能： ip arp inspection

配置端口处理ARP报文的上限值： ip arp inspection

rate-limit limit-value    缺省情况下，端口处理ARP报文的上限值为15pps

回退到全局配置模式  exit

配置缓存日志数目： ip arp inspection

log-buffer buffer-size：缺省情况下，系统可以缓存的日志数为32，配置为0，表示日志不进行缓存，即检测到非法ARP报文后，日志直接输出到终端

配置日志输出间隔时间： ip arp inspection

log-interval seconds

缺省情况下，日志输出间隔时间为20秒，配置为0，表示日志的输出不需等待，即检测到非法ARP报文后，日志直接输出到终端

配置日志输出级别： ip arp inspection

log-level log-level     缺省情况下，日志输出级别为6

说明：

1.端口DAI功能使能后，对应端口收到的所有ARP报文（广播ARP及单播ARP）都重定向到CPU进行检测、软件转发、日志记录等，当ARP报文量较大时会严重消耗CPU资源，因此，在设备通信正常的情况下，不建议使能端口DAI功能，当怀疑网络中存在ARP欺骗攻击时，才需要使能端口DAI功能来进行检测和定位。

2.同一端口下，端口DAI功能不能与端口安全功能同时使能。

3.在汇聚组配置模式下配置端口处理ARP报文速率上限值后，该汇聚组的每个成员端口的ARP报文速率上限值均为该值。

配置全局Dynamic ARP Inspection功能

配置条件：在配置全局Dynamic ARP Inspection功能前，首先完成以下任务：

1.配置全局IP Source Guard绑定表项。

使能全局DAI功能后，系统会依据全局IP Source Guard绑定表项，对接收到的ARP报文进行合法性检查，非法报文直接丢弃，不会记录日志。

进入全局配置模式： configure terminal

使能全局DAI功能: arp-security

配置Dynamic ARP Inspection ARP攻击检测

使能ARP攻击检测后，系统会对接收到的ARP报文不进行合法性检查，只记录日志。

进入全局配置模式： configure terminal

进入二层以太接口配置模式： interface interface-name

使能端口ARP攻击检测： ip arp inspection attack

配置DAI基本功能：

网络需求：1.PC1，PC2通过Device接入IP Network    2.在Device上配置端口DAI功能，防止ARP攻击和欺骗。

网络拓扑：

配置步骤：

步骤1：

在Device上配置VLAN和端口的链路类型。

#创建VLAN2。

Device#configure terminal

Device(config)#vlan 2

Device(config-vlan2)#exit

#配置端口gigabitethernet 0/1的链路类型为Access，允许VLAN2的业务通过。

Device(config)#interface gigabitethernet 0/1

Device(config-if-gigabitethernet0/1)#switchport mode access

Device(config-if-gigabitethernet0/1)#switchport access vlan 2

Device(config-if-gigabitethernet0/1)#exit

步骤2：

在Device上配置端口DAI功能。

#在端口gigabitethernet0/1上使能端口DAI功能，并配置端口gigabitethernet0/1处理ARP报文的上限值为30pps。

Device(config)#interface gigabitethernet 0/1

Device(config-if-gigabitethernet0/1)#ip arp inspection

Device(config-if-gigabitethernet0/1)#ip arp inspection rate-limit 30

Device(config-if-gigabitethernet0/1)#exit

步骤3：

在Device上配置绑定表项。

#在端口gigabitethernet0/1上配置MAC地址为0012.0100.0001，IP地址为192.168.1.2，VLAN为2的端口IP Source Guard绑定表项。

Device(config)#interface gigabitethernet 0/1

Device(config-if-gigabitethernet0/1)#ip source binding 0012.0100.0001 vlan 2 192.168.1.2

Device(config-if-gigabitethernet0/1)#exit

步骤4：

检验结果。

#查看DAI相关配置信息。

Device#show ip arp inspection

Dynamic ARP Inspection information:

Dynamic ARP Inspection log buffer size: 30

Dynamic ARP Inspection log Interval:    20

Dynamic ARP Inspection log Level:       6

Dynamic ARP Inspection interface information :

-------------------------------------------

interface            status     rate-limit(pps)  attack

gi0/1                enable     30               OFF

gi0/2                disable    15               OFF

……

#当端口gigabitethernet0/1接收ARP报文的速率超过30pps时，Device会将超过速率的报文丢弃，并输出以下提示信息。

Jan  1 02:21:06: The rate on interface gigabitethernet0/1 too fast ,the arp packet drop!

#当端口gigabitethernet0/1接收ARP报文的速率超过30pps且持续20秒时，Device将关闭端口gigabitethernet0/1，并输出以下提示信息。

Jan  1 02:21:26: %LINK-INTERFACE_DOWN-4: interface gigabitethernet0/1, changed state to down

Jan  1 02:21:26: The rate of arp packet is too fast,dynamic arp inspection shut down the gigabitethernet0/1 !

#当端口gigabitethernet0/1接收到的ARP报文与绑定表项不一致时，Device记录以下格式的非法信息到DAI日志中，并定时输出。

Jan  1 07:19:49:  SEC-7-DARPLOG: sender IP address: 192.168.1.3 sender MAC address:0011.0100.0001 target IP address: 0.0.0.0 target MAC address:0000.0000.0000 vlan ID:2 interface ID: gigabitethernet0/1 record packet :32 packet(s)

#查看DAI日志。

Device#show ip arp inspection log-information

LogCountInBuffer:1

SEC-7-DARPLOG: sender IP address: 192.168.1.3 sender MAC address:0011.0100.0001 target IP address: 0.0.0.0 target MAC address:0000.0000.0000 vlan ID:2 interface ID:gigabitethernet0/1 record packet :0 packet(s)

DAI与DHCP Snooping联用：

网络需求：

1.PC1、PC2通过Device1接入IP Network，PC2为DHCP客户端，Device2为DHCP中继。

2.Device1配置DHCP Snooping及端口DAI功能，实现PC2能正常访问IP Network，PC1不能访问IP Network。

网络拓扑：

配置步骤：

步骤1：

在Device1上配置VLAN和端口的链路类型。

#创建VLAN3。

Device1#configure terminal

Device1(config)#vlan 3

Device1(config-vlan3)#exit

#配置端口gigabitethernet0/1和端口gigabitethernet0/2的链路类型为Access，都允许VLAN3的业务通过。

Device1(config)#interface gigabitethernet 0/1-0/2

Device1(config-if-range)#switchport access vlan 3

Device1(config-if-range)#exit

步骤2：

在Device2上配置VLAN和端口的链路类型。

#创建VLAN2和VALN3。

Device2#configure terminal

Device2(config)#vlan 2-3

#配置端口gigabitethernet0/1和端口gigabitethernet0/2的链路类型为Access，端口gigabitethernet0/1允许VLAN2的业务通过，端口gigabitethernet0/2允许VLAN3的业务通过。

Device2(config)#interface gigabitethernet 0/1

Device2(config-if-gigabitethernet0/1)#switchport mode access

Device2(config-if-gigabitethernet0/1)#switchport access vlan 2

Device2(config-if-gigabitethernet0/1)#exit

Device2(config)#interface gigabitethernet 0/2

Device2(config-if-gigabitethernet0/2)#switchport mode access

Device2(config-if-gigabitethernet0/2)#switchport access vlan 3

Device2(config-if-gigabitethernet0/2)#exit

步骤3：

在Device1和Device2上配置对应VLAN接口及IP地址。（略）

步骤4：

在Device1上配置DHCP Snooping功能。

#使能DHCP Snooping功能，配置端口gigabitethernet0/2为信任端口。

Device1(config)#dhcp-snooping

Device1(config)#interface gigabitethernet 0/2

Device1(config-if-gigabitethernet0/2)#dhcp-snooping trust

Device1(config-if-gigabitethernet0/2)#exit

步骤5：

在Device1上配置端口DAI功能。

#端口gigabitethernet0/1上使能端口DAI功能。

Device1(config)#interface gigabitethernet 0/1

Device1(config-if-gigabitethernet0/1)#ip arp inspection

Device1(config-if-gigabitethernet0/1)#exit

步骤6：

在Device2上配置DHCP中继服务器IP地址。

#配置DHCP中继服务器IP地址为198.168.2.1。

Device2(config)#ip dhcp-server 192.168.2.1

步骤7：

检验结果。

#PC2成功获取到地址后，在Device1上查看DHCP Snooping动态表项。

Device1#show dhcp-snooping database

dhcp-snooping database:

database entries count:1

database entries delete time :300

---------------------------------

macAddr          ipAddr           transtion-id     vlan   interface            leaseTime(s)     status

0013.0100.0001   192.168.1.100    2                2      gi0/1               107990           active

#PC2能正常访问IP Network，PC1不能访问IP Network。

Dynamic ARP Inspection（动态ARP检测）功能，简称DAI相关推荐

1. 静态ARP与动态ARP

   一:静态ARP 静态ARP指的是需要管理员手工指定建立AP-MAC映射表,需要管理员手工建立和维护. 二:动态ARP 动态ARP指的是通过报文去学习ARP表项,不需要管理员手工建立和维护. 三:对比 ...

2. 理解ARP及 Proxy ARP

   1.本文使用的软件是eNSP 2.部分命令使用的是简写(和完整命令一样的作用),按键盘上的"Tab"建可自动补全命令 3.退到下一层用命令quit,简写q 本文用得到的查询命令: ...

3. FPGA纯verilog实现UDP通信，三速网自协商仲裁，动态ARP和Ping功能，提供工程源码和技术支持

   目录 1.前言 2.我这里已有的UDP方案 3.UDP详细设计方案 MAC层发送 MAC发送模式 ARP发送 IP层发送 IP发送模式 UDP发送 MAC层接收 ARP接收 IP层接收 UDP接收 S ...

4. DAI（dynamic arp inspection）

   DAI(dynamic arp inspection) 是一种能够验证网络中ARP数据包的安全特性,可以防止中间人攻击. 通常需要和DHCP的snooping结合使用,因为要利用到DHCP snoop ...

5. CCIE理论-第八篇-SD-WAN(三)+DAI(动态ARP检测)

   CCIE理论-第八篇-SD-WAN(三) 首先来说上一章的问题, vbound和vsmart还没出来 . 指定域和vbound 初始化搞完了,那么需要去添加vsmart和vbound了 添加设备 添加 ...

6. Dynamic ARP Inspection

   DAI -Dynamic ARP Inspection 一.DAI是什么? 一.DAI是什么? DAI全名係Dynamic ARP Inspection, 動態ARP檢測.它是一種網絡安全機制,用作保 ...

7. 交换机的基本原理（特别是动态ARP、静态ARP、代理ARP）

   第六章:交换机的基本配置 二层交换设备工作在OSI模型的第二层,即数据链路层,它对数据包的转发是建立在MAC(Media Access Control )地址基础之上的.二层交换设备不同的接口发送和接 ...

8. ARP的欺骗泛洪攻击的防御——DAI动态ARP监控技术、

   目录 一.DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二.非DHCP SNOOPING环境下: 扩展:自动打开err-disable接口方法: arp欺骗详细过程前往一下连接: ...

9. ARP欺骗泛洪攻击的防御——DAI动态ARP监控技术

   目录 一.DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二.非DHCP SNOOPING环境下: 三.扩展:自动打开err-disable接口方法: arp欺骗详细过程前往一下连 ...

最新文章

1. 全网最火的Nacos监控中心——Prometheus+Grafana
2. cutadapt 处理fastq文件
3. NodeList 和 HTMLCollection
4. 用户资源管理DBMS_RESOURCE_MANAGER
5. android 系统亮度,android 设置系统屏幕亮度
6. 如是院长说：买不起房就多买两套，大家怎么看
7. JavaScript设计模式入坑
8. 为什么预估执行计划与真实执行计划会有差异？
9. java task和thread_【Java学习笔记-并发编程】线程与任务
10. python购物车_python购物车功能
11. SAP 以工序为基准进行发料 机加工行业 Goods Issue to Routing
12. Bluetooth基础知识--蓝牙的几种通讯方式
13. python---面向对象1
14. 自监督学习经典之作:DINO
15. 初识智遥工作流软件——表单开发篇1
16. 微信公众平台菜单编辑php,Vue.js实现微信公众号菜单编辑器步骤详解（上）
17. 初创企业购买企业邮箱_应用创意可为2019年及以后的初创企业带来收入
18. 人工智能有哪些优势?人工智能5项技术介绍
19. 是否有 API 可供云对接？
20. 扫描仪怎样装无线网络服务器,扫描仪(7140)安装说明

热门文章

1. 广州大学城热水解锁卡dump
2. GHOST手动备份详细教程(图文)
3. 最经典的消息中间件：RabbitMQ
4. 基于STC89C52单片机的蔬菜大棚实时温度测量控制系统
5. A transformer-based model to predict peptide– HLA class I binding and optimize mutated peptides for
6. PSO应用TSP（引入交换子）
7. unity算法面试_Unity面试经验
8. Python一键下载文章，转制成PDF格式电子书
9. 啤酒和尿不湿？购物篮分析、商品关联分析和关联规则算法都给你搞清楚（上—理论篇）
10. 导入semantic-ui-css/semantic.min.css样式失败