Dai

學位論文

Dissertation Abstracts InternationalDissertationAbstractsInternational 《國際學位論文文摘》（簡稱DAI）

DAI技術

ARP防範在全部是Cisco交換網路里,可以通過綁定每台設備的ip和mac地址可以解決.但是這樣做比較麻煩,可以用思科 Dynamic ARP Inspection 機制解決.

防範方法

思科 Dynamic ARP Inspection (DAI)在交換機上提供IP位址和MAC地址的綁定, 並動態建立綁定關係.DAI 以 DHCP Snooping綁定表為基礎,對於沒有使用DHCP的伺服器個別機器可以採用靜態添加ARP access-list實現.DAI配置針對VLAN,對於同一VLAN內的接口可以開啟DAI也可以關閉.通過DAI可以控制某個連線埠的ARP請求報文數量.通過這些技術可以防範中間人攻擊.

配置

switch(config)#ip dhcp snooping vlan 7switch(config)#ip dhcp snooping information option /*默認switch(config)#ip dhcp snoopingswitch(config)#ip arp inspection vlan 7/* 定義對哪些 VLAN 進行 ARP 報文檢測switch(config)#ip arp inspection validate src-mac dst-mac ip/*對源,目mac和ip地址進行檢查switch(config-if)#ip dhcp snooping limit rate 10switch(config-if)#ip arp inspection limit rate 15 /* 定義接口每秒 ARP 報文數量switch(config-if)#ip arp inspection trust /*信任的接口不檢查arp報文,默認是檢測

注意點

對於前面dhcp-snooping的綁定表中關於連線埠部分,是不做檢測的;同時對於已存在於綁定表中的mac和ip對於關係的主機,不管是dhcp獲得,還是靜態指定,只要符合這個表就可以了.如果表中沒有就阻塞相應流量.[在開始套用Dynamic ARP Inspection時,交換機會記錄大量的數據包,當連線埠通過的數據包過多時,交換機會認為遭受DoS攻擊,從而將連線埠自動errdisable,造成通信中斷.為了解決這個問題,我們需要加入命令errdisable recovery cause arp-inspection