Dynamic ARP Inspection(动态ARP检测)功能,简称DAI
Dynamic ARP Inspection简介:
Dynamic ARP Inspection(动态ARP检测)功能,简称DAI功能。通过检查ARP(Address Resolution Protocol,地址解析协议)报文的合法性,发现并防止ARP欺骗攻击,增强网络安全性。DAI功能主要分为以下两类:
1.端口DAI功能:对指定端口接收到的ARP报文进行合法性检测,便于发现并防止ARP欺骗攻击;
ARP报文合法性检测的依据为端口IP source Guard绑定表项,具体检测原理:接收到的ARP报文中,发送端IP地址,源MAC地址及VLAN ID与端口IP source Guard绑定表项完全匹配,则该ARP报文为合法报文,对其进行转发;否则,该ARP报文为非法报文,将其丢弃,并记录日志信息。
2.全局DAI功能:对所有端口接收到的ARP报文进行合法性检测,防止伪冒用户发送伪造的ARP报文,导致设备建立错误的ARP表项。
ARP报文合法性检测的依据为全局IP source Guard绑定表项,具体检测原理:接收到的ARP报文中,发送端IP地址与全局IP source Guard绑定表项中的IP地址相同,但源MAC地址不同时,该ARP报文为伪造报文,将其丢弃,不记录日志信息。
端口DAI,全局DAI功能还会对ARP报文进行有效性检测,具体检测原理:接收到的ARP报文中的源MAC地址与发送端的MAC地址不同,则该报文为无效报文,将其丢弃,不记录日志信息。
3.端口ARP攻击检测:对指定端口接收到的ARP报文不进行合法性检测,只记录日志信息,用于发现ARP攻击。
配置端口Dynamic ARP Inspection功能:
配置条件:
在配置端口Dynamic ARP Inspection功能前,首先要完成以下任务:
配置端口IP Source Guard绑定表项。
使能端口DAI功能后,系统会依据端口IP Source Guard绑定表项,对端口接收到的ARP报文进行合法性检测,非法报文会被丢弃,并被记录到日志中。日志中记录的内容包括:VLAN ID,接收端口,发送端IP地址,目的IP地址,发送端MAC地址,目的MAC地址,相同非法ARP报文数。用户可以根据记录的日志信息来作进一步分析,缺省情况下,日志信息周期性输出,可通过配置日志输出间隔时间来控制报文的记录,输出及老化。日志输出间隔时间作为以下日志相关参数的基础值:
1.日志刷新周期:用于判断日志是否需输出及老化。如果配置的日志输出间隔时间小于5秒,则日志刷新周期等于1秒,否则,日志刷新周期等于五分之一的日志输出间隔时间;
2.日志老化时间:老化时间超时后,日志会被删除。日志老化时间为两倍的日志输出间隔时间;
3.日志令牌:日志刷新周期内,允许记录最大的日志数目。日志令牌数为15倍的日志刷新周期值。
使能端口DAI功能后,还可以配置端口ARP限速功能,即对每秒处理的ARP报文数目进行限制,避免系统由于长期处理大量ARP报文,导致其他协议报文无法及时得到处理。
说明:
端口ARP限速功能,即对每秒处理的ARP报文数目进行限制,避免系统由于长期处于大量ARP报文,导致其他协议报文无法及时得到处理。一秒内接收到的ARP报文数目超过速率上限值后,这一秒内后续接收到的ARP报文会被丢弃。如果端口连续20秒接收到的ARP报文都超速,则会将相应的端口关闭,来隔离报文冲击源。
进入二层以太接口配置模式:interface interface-name
使能端口DAI功能: ip arp inspection
配置端口处理ARP报文的上限值: ip arp inspection
rate-limit limit-value 缺省情况下,端口处理ARP报文的上限值为15pps
回退到全局配置模式 exit
配置缓存日志数目: ip arp inspection
log-buffer buffer-size:缺省情况下,系统可以缓存的日志数为32,配置为0,表示日志不进行缓存,即检测到非法ARP报文后,日志直接输出到终端
配置日志输出间隔时间: ip arp inspection
log-interval seconds
缺省情况下,日志输出间隔时间为20秒,配置为0,表示日志的输出不需等待,即检测到非法ARP报文后,日志直接输出到终端
配置日志输出级别: ip arp inspection
log-level log-level 缺省情况下,日志输出级别为6
说明:
1.端口DAI功能使能后,对应端口收到的所有ARP报文(广播ARP及单播ARP)都重定向到CPU进行检测、软件转发、日志记录等,当ARP报文量较大时会严重消耗CPU资源,因此,在设备通信正常的情况下,不建议使能端口DAI功能,当怀疑网络中存在ARP欺骗攻击时,才需要使能端口DAI功能来进行检测和定位。
2.同一端口下,端口DAI功能不能与端口安全功能同时使能。
3.在汇聚组配置模式下配置端口处理ARP报文速率上限值后,该汇聚组的每个成员端口的ARP报文速率上限值均为该值。
配置全局Dynamic ARP Inspection功能
配置条件:在配置全局Dynamic ARP Inspection功能前,首先完成以下任务:
1.配置全局IP Source Guard绑定表项。
使能全局DAI功能后,系统会依据全局IP Source Guard绑定表项,对接收到的ARP报文进行合法性检查,非法报文直接丢弃,不会记录日志。
进入全局配置模式: configure terminal
使能全局DAI功能: arp-security
配置Dynamic ARP Inspection ARP攻击检测
使能ARP攻击检测后,系统会对接收到的ARP报文不进行合法性检查,只记录日志。
进入全局配置模式: configure terminal
进入二层以太接口配置模式: interface interface-name
使能端口ARP攻击检测: ip arp inspection attack
配置DAI基本功能:
网络需求:1.PC1,PC2通过Device接入IP Network 2.在Device上配置端口DAI功能,防止ARP攻击和欺骗。
网络拓扑:
配置步骤:
步骤1:
在Device上配置VLAN和端口的链路类型。
#创建VLAN2。
Device#configure terminal
Device(config)#vlan 2
Device(config-vlan2)#exit
#配置端口gigabitethernet 0/1的链路类型为Access,允许VLAN2的业务通过。
Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit
步骤2:
在Device上配置端口DAI功能。
#在端口gigabitethernet0/1上使能端口DAI功能,并配置端口gigabitethernet0/1处理ARP报文的上限值为30pps。
Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ip arp inspection
Device(config-if-gigabitethernet0/1)#ip arp inspection rate-limit 30
Device(config-if-gigabitethernet0/1)#exit
步骤3:
在Device上配置绑定表项。
#在端口gigabitethernet0/1上配置MAC地址为0012.0100.0001,IP地址为192.168.1.2,VLAN为2的端口IP Source Guard绑定表项。
Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ip source binding 0012.0100.0001 vlan 2 192.168.1.2
Device(config-if-gigabitethernet0/1)#exit
步骤4:
检验结果。
#查看DAI相关配置信息。
Device#show ip arp inspection
Dynamic ARP Inspection information:
Dynamic ARP Inspection log buffer size: 30
Dynamic ARP Inspection log Interval: 20
Dynamic ARP Inspection log Level: 6
Dynamic ARP Inspection interface information :
-------------------------------------------
interface status rate-limit(pps) attack
gi0/1 enable 30 OFF
gi0/2 disable 15 OFF
……
#当端口gigabitethernet0/1接收ARP报文的速率超过30pps时,Device会将超过速率的报文丢弃,并输出以下提示信息。
Jan 1 02:21:06: The rate on interface gigabitethernet0/1 too fast ,the arp packet drop!
#当端口gigabitethernet0/1接收ARP报文的速率超过30pps且持续20秒时,Device将关闭端口gigabitethernet0/1,并输出以下提示信息。
Jan 1 02:21:26: %LINK-INTERFACE_DOWN-4: interface gigabitethernet0/1, changed state to down
Jan 1 02:21:26: The rate of arp packet is too fast,dynamic arp inspection shut down the gigabitethernet0/1 !
#当端口gigabitethernet0/1接收到的ARP报文与绑定表项不一致时,Device记录以下格式的非法信息到DAI日志中,并定时输出。
Jan 1 07:19:49: SEC-7-DARPLOG: sender IP address: 192.168.1.3 sender MAC address:0011.0100.0001 target IP address: 0.0.0.0 target MAC address:0000.0000.0000 vlan ID:2 interface ID: gigabitethernet0/1 record packet :32 packet(s)
#查看DAI日志。
Device#show ip arp inspection log-information
LogCountInBuffer:1
SEC-7-DARPLOG: sender IP address: 192.168.1.3 sender MAC address:0011.0100.0001 target IP address: 0.0.0.0 target MAC address:0000.0000.0000 vlan ID:2 interface ID:gigabitethernet0/1 record packet :0 packet(s)
DAI与DHCP Snooping联用:
网络需求:
1.PC1、PC2通过Device1接入IP Network,PC2为DHCP客户端,Device2为DHCP中继。
2.Device1配置DHCP Snooping及端口DAI功能,实现PC2能正常访问IP Network,PC1不能访问IP Network。
网络拓扑:
配置步骤:
步骤1:
在Device1上配置VLAN和端口的链路类型。
#创建VLAN3。
Device1#configure terminal
Device1(config)#vlan 3
Device1(config-vlan3)#exit
#配置端口gigabitethernet0/1和端口gigabitethernet0/2的链路类型为Access,都允许VLAN3的业务通过。
Device1(config)#interface gigabitethernet 0/1-0/2
Device1(config-if-range)#switchport access vlan 3
Device1(config-if-range)#exit
步骤2:
在Device2上配置VLAN和端口的链路类型。
#创建VLAN2和VALN3。
Device2#configure terminal
Device2(config)#vlan 2-3
#配置端口gigabitethernet0/1和端口gigabitethernet0/2的链路类型为Access,端口gigabitethernet0/1允许VLAN2的业务通过,端口gigabitethernet0/2允许VLAN3的业务通过。
Device2(config)#interface gigabitethernet 0/1
Device2(config-if-gigabitethernet0/1)#switchport mode access
Device2(config-if-gigabitethernet0/1)#switchport access vlan 2
Device2(config-if-gigabitethernet0/1)#exit
Device2(config)#interface gigabitethernet 0/2
Device2(config-if-gigabitethernet0/2)#switchport mode access
Device2(config-if-gigabitethernet0/2)#switchport access vlan 3
Device2(config-if-gigabitethernet0/2)#exit
步骤3:
在Device1和Device2上配置对应VLAN接口及IP地址。(略)
步骤4:
在Device1上配置DHCP Snooping功能。
#使能DHCP Snooping功能,配置端口gigabitethernet0/2为信任端口。
Device1(config)#dhcp-snooping
Device1(config)#interface gigabitethernet 0/2
Device1(config-if-gigabitethernet0/2)#dhcp-snooping trust
Device1(config-if-gigabitethernet0/2)#exit
步骤5:
在Device1上配置端口DAI功能。
#端口gigabitethernet0/1上使能端口DAI功能。
Device1(config)#interface gigabitethernet 0/1
Device1(config-if-gigabitethernet0/1)#ip arp inspection
Device1(config-if-gigabitethernet0/1)#exit
步骤6:
在Device2上配置DHCP中继服务器IP地址。
#配置DHCP中继服务器IP地址为198.168.2.1。
Device2(config)#ip dhcp-server 192.168.2.1
步骤7:
检验结果。
#PC2成功获取到地址后,在Device1上查看DHCP Snooping动态表项。
Device1#show dhcp-snooping database
dhcp-snooping database:
database entries count:1
database entries delete time :300
---------------------------------
macAddr ipAddr transtion-id vlan interface leaseTime(s) status
0013.0100.0001 192.168.1.100 2 2 gi0/1 107990 active
#PC2能正常访问IP Network,PC1不能访问IP Network。
Dynamic ARP Inspection(动态ARP检测)功能,简称DAI相关推荐
- 静态ARP与动态ARP
一:静态ARP 静态ARP指的是需要管理员手工指定建立AP-MAC映射表,需要管理员手工建立和维护. 二:动态ARP 动态ARP指的是通过报文去学习ARP表项,不需要管理员手工建立和维护. 三:对比 ...
- 理解ARP及 Proxy ARP
1.本文使用的软件是eNSP 2.部分命令使用的是简写(和完整命令一样的作用),按键盘上的"Tab"建可自动补全命令 3.退到下一层用命令quit,简写q 本文用得到的查询命令: ...
- FPGA纯verilog实现UDP通信,三速网自协商仲裁,动态ARP和Ping功能,提供工程源码和技术支持
目录 1.前言 2.我这里已有的UDP方案 3.UDP详细设计方案 MAC层发送 MAC发送模式 ARP发送 IP层发送 IP发送模式 UDP发送 MAC层接收 ARP接收 IP层接收 UDP接收 S ...
- DAI(dynamic arp inspection)
DAI(dynamic arp inspection) 是一种能够验证网络中ARP数据包的安全特性,可以防止中间人攻击. 通常需要和DHCP的snooping结合使用,因为要利用到DHCP snoop ...
- CCIE理论-第八篇-SD-WAN(三)+DAI(动态ARP检测)
CCIE理论-第八篇-SD-WAN(三) 首先来说上一章的问题, vbound和vsmart还没出来 . 指定域和vbound 初始化搞完了,那么需要去添加vsmart和vbound了 添加设备 添加 ...
- Dynamic ARP Inspection
DAI -Dynamic ARP Inspection 一.DAI是什么? 一.DAI是什么? DAI全名係Dynamic ARP Inspection, 動態ARP檢測.它是一種網絡安全機制,用作保 ...
- 交换机的基本原理(特别是动态ARP、静态ARP、代理ARP)
第六章:交换机的基本配置 二层交换设备工作在OSI模型的第二层,即数据链路层,它对数据包的转发是建立在MAC(Media Access Control )地址基础之上的.二层交换设备不同的接口发送和接 ...
- ARP的欺骗泛洪攻击的防御——DAI动态ARP监控技术、
目录 一.DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二.非DHCP SNOOPING环境下: 扩展:自动打开err-disable接口方法: arp欺骗详细过程前往一下连接: ...
- ARP欺骗泛洪攻击的防御——DAI动态ARP监控技术
目录 一.DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二.非DHCP SNOOPING环境下: 三.扩展:自动打开err-disable接口方法: arp欺骗详细过程前往一下连 ...
最新文章
- 全网最火的Nacos监控中心——Prometheus+Grafana
- cutadapt 处理fastq文件
- NodeList 和 HTMLCollection
- 用户资源管理DBMS_RESOURCE_MANAGER
- android 系统亮度,android 设置系统屏幕亮度
- 如是院长说:买不起房就多买两套,大家怎么看
- JavaScript设计模式入坑
- 为什么预估执行计划与真实执行计划会有差异?
- java task和thread_【Java学习笔记-并发编程】线程与任务
- python购物车_python购物车功能
- SAP 以工序为基准进行发料 机加工行业 Goods Issue to Routing
- Bluetooth基础知识--蓝牙的几种通讯方式
- python---面向对象1
- 自监督学习经典之作:DINO
- 初识智遥工作流软件——表单开发篇1
- 微信公众平台菜单编辑php,Vue.js实现微信公众号菜单编辑器步骤详解(上)
- 初创企业购买企业邮箱_应用创意可为2019年及以后的初创企业带来收入
- 人工智能有哪些优势?人工智能5项技术介绍
- 是否有 API 可供云对接?
- 扫描仪怎样装无线网络服务器,扫描仪(7140)安装说明
热门文章
- 广州大学城热水解锁卡dump
- GHOST手动备份详细教程(图文)
- 最经典的消息中间件:RabbitMQ
- 基于STC89C52单片机的蔬菜大棚实时温度测量控制系统
- A transformer-based model to predict peptide– HLA class I binding and optimize mutated peptides for
- PSO应用TSP(引入交换子)
- unity算法面试_Unity面试经验
- Python一键下载文章,转制成PDF格式电子书
- 啤酒和尿不湿?购物篮分析、商品关联分析和关联规则算法都给你搞清楚(上—理论篇)
- 导入semantic-ui-css/semantic.min.css样式失败