DAI(dynamic arp inspection)
是一种能够验证网络中ARP数据包的安全特性,可以防止中间人攻击。
通常需要和DHCP的snooping结合使用,因为要利用到DHCP snooping技术生成的绑定表。也可静态写IP和MAC的绑定表
原理:启用DAI后,将接口分为trusted和untrusted。对于untrusted接口,要进行ARP的检查,必须是和绑定表中的条目相匹配的ARP包才允许通过。
ip arp inspection vlan 1 //启用
int f0/1
ip arp inspection trust //指定arp检测的trust接口,一定要做
ip arp inspection limit rate 100 //限制每秒所接收的arp包个数
show ip arp inspection interfaces
show ip arp inspection vlan 1
一个实际案例:(不跟DHCP的snooping结合,单独使用DAI)
arp access-list CISCO
permit ip host 162.16.40.1 mac host 0000.0c07.ac28
Cisco7609_2(config)#ip arp inspection vlan 40
Cisco7609_2(config)#ip arp inspection filter CISCO vlan 40 static
注意:ARP包是直接封装进二层的,所以上面的源保护技术没法对付ARP欺骗