动态ARP检测原理及应用

1、动态ARP检测原理及应用在一个局域网中，网络安全可以通过多种方式来实现，而采取DHCP snooping（ DHCf防护）及DAI检测（ARP防护）这种技术，保 护接入交换机的每个端口，可以让网络更加安全，更加稳定，尽可能 的减小中毒范围，不因病毒或木马导致全网的瘫痪。下面将详细的对这种技术的原理和应用做出解释。一、 相关原理及作用1、DHCP sn oop ing 原理DHCP Snooping技术是 DHCP安全特性，通过建立和维护 DHCP Snooping绑定表过滤不可信任的DHCP言息，这些信息是指来自不信 任区域的DHCP言息。DHCP Snooping绑定表包含不信任区域的用户

2、MAC地址、IP地址、租用期、VLAN-ID接口等信息。当交换机开启了 DHCP-Snooping后，会对DHCPS文进行“侦听”， 并可以从接收到的 DHCP Request或DHCP Ack报文中提取并记录IP 地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设 置为信任端口或不信任端口。信任端口可以正常接收并转发DHCPOffer 报文，而不信任端口会将接收到的 DHCP Offer 报文丢弃。这 样，可以完成交换机对假冒 DHCPServer 的屏蔽作用，确保客户端从 合法的DHCP Server获取IP地址。2、DHCP snooping 作用DHCP sno

3、oping的主要作用就是隔绝私接的 DHCP server，防止网络因多个DHCPserver而产生震荡。DHCFS no op ing与交换机DAI技术的配合，防止ARP病毒的传播。建立并维护一张DHCP snooping的“绑定表”，这张表可以通过 dhcpack包中的ip和mac地址生成的，也可以通过手工指定。它是 后续 DAI ( Dynamic ARP Inspection )和 IP Source Guard 基础。 这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法， 来限制用户连接到网络的。3、DAI的原理及作用DAI 全称为 Dynamic ARP Inspect

4、ion ，译为动态 ARP检测。 思科 Dynamic ARP Inspection (DAI)在交换机上提供 IP地址和MAC地址的绑定，并动态建立绑定关系。DAI以DHCPS no opi ng绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态 添加 ARP access-list 实现。DAI配置可以针对 VLAN对于同一 VLAN内的接口即可以开启 DAI也可以关闭。通过DAI可以控制某个端口的 ARP请求报文数量，来达到防范 DoS攻击的目的。DHCP snooping 及 DAI 的应用1、DHCP snooping 的应用Switch (config ) #ipdhc

5、p snoopingSwitch (config ) #ipdhcp snooping vianid /* vian id 为 vian 号。Switch (config-if) #ipdhcp snooping limit rate number/*dhcp包的转发速率，超过就接口就err-disable，默认不限制；Switch ( config-if)#ipdhcp snooping trust/* 这样这个端口就变成了信任端口，信任端口可以正常接收并转发DHCPOffer报文，不记录ip和mac地址的绑定，默认是非信任端口。交换机 上联端口必须为trust端口Switch#ipdhcp

6、 snooping bindingmac-addressvla nidip-address in terfacein terface /* 这样可以静态 ip 禾口 mac一个绑定。mac-address为设备物理地址，ip-address 为设备IP 地址，in terface为设备所接交换机端口号。Switch ( config )#ipdhcp snooping database t/dhcp_table/*因为掉电后，这张绑定表就消失了，所以要选择一个保存的地方，ftp、tftp、flash 皆可。Dhcp_table为文件名，并且在服务器端也要建立一个相同文

7、件名文件。2、DAI的应用Switch(config)#ipdhcpsnooping vlanid /* vlan id 为 vlan号。vlan id /*定义对哪些Switch(config)#ipdhcp snoopingSwitch(con fig)#iparp in specti onVLAN进行ARP报文检测。Switch(config)#iparp inspection validate src-macdst-macip-addres s /* 对 src-mac (源 mac地 址),dst-mac (目标 mac地址)和 ip-address (ip 地址)进 行检查Swit

8、ch(c on fig-if)#iparp in specti on limit ratenu mber/*定义接口每秒 ARP报文数量。Switch(config-if)#iparp inspection trust/* 信任的接口不检查arp报文,默认是检测。上联端口必须设为trust。三、DHCP Snooping和DAI在应用中的问题及解决办法当一台交换机启用DHCP Snooping和DAI时，该交换机的所有下 联端口都具备了这种防护功能。但是默认情况下，DCHP包的检测和ARP包检测的数值都相对较低，若新接入一台设备，向整个Vlan发送ARP包进行查找。这样的话会使交换机端口进入

9、Err-disable 状态。 这时，我们就必须要在相应端口更改相应的数值。当发现有端口 Err-disable 时，先在交换机上查看端口 err-disable 状态：Switch(c on fig-if)#showin terfacein terfacestatuserr-disabled通过这条命令， 可以看到端口 err-disable的原因。 根据这一条，我们可以在交换机配置中添加命令来解决这个问题：Switch(config)#errdisablerecovery cause reason/*err-disable 恢复原因。这里产生err-disable 的原因有很多种，但就ARP包产生的问 题，这一条要慎用。因为不确定下联设备是否是完全可信，针对 这个，我们可以在相应端口上添加如下命令：Switch ( config-if)#ipdhcp snooping limit ratenumberSwitch ( config-if)#iparp inspection limit ratenumber这里的数值默认为 30，最大值为 2048，我们可以根据实际情 况更改。在端口完成配置后，必须要对端口进行 shutdown 和 no shutdown 操作，否则端口状态不会改变。此外，还有一条命令，配置后可以缩短故障恢复时间