2020 六月 2 , 星期二
Home / 网络 / Cisco DAI(dynamic arp inspection)

Cisco DAI(dynamic arp inspection)

DAI(dynamic arp inspection)
是一种能够验证网络中ARP数据包的安全特性,可以防止中间人攻击。

通常需要和DHCP的snooping结合使用,因为要利用到DHCP snooping技术生成的绑定表。也可静态写IP和MAC的绑定表

原理:启用DAI后,将接口分为trusted和untrusted。对于untrusted接口,要进行ARP的检查,必须是和绑定表中的条目相匹配的ARP包才允许通过。

ip arp inspection vlan 1 //启用

int f0/1
ip arp inspection trust //指定arp检测的trust接口,一定要做

ip arp inspection limit rate 100 //限制每秒所接收的arp包个数

show ip arp inspection interfaces
show ip arp inspection vlan 1

一个实际案例:(不跟DHCP的snooping结合,单独使用DAI)

arp access-list WOLF
permit ip host 162.16.40.1 mac host 0000.0c07.ac28

Cisco7609_2(config)#ip arp inspection vlan 40
Cisco7609_2(config)#ip arp inspection filter WOLF vlan 40 static

注意:ARP包是直接封装进二层的,所以上面的源保护技术没法对付ARP欺骗

Check Also

Cisco DHCP

一、典型示例 service  ...

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>