动态ARP检测原理及应用

1、动态ARP检测原理及应用在一个局域网中，网络安全可以通过多种方式来实现，而采取DHCP snooping （DHCP防护）及DAI检测（ARP防护）这种技术，保护接入交换机的每个端口， 可以让网络更加安全，更加稳定，尽可能的减小中毒范围，不因病毒或木马导致全 网的瘫痪。下面将详细的对这种技术的原理和应用做出解释。一、相关原理及作用1、DHCP snooping原理DHCP Snoopin戕术是DHCP安全特性，通过建立和 维护DHCPSnooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信 任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP

2、地址、租用 期、VLAN-ID接口等信息。当交换机开启了 DHCP-Snooping后，会对DHCP报文进行 侦听”并可以从 接收到的DHCP Reques或DHCP Ac报文中提取并记录IP地址和MAC地址信 息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCPOffer报文，而不信任端口会将接收到的 DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCPServe的屏蔽作用，确保客户端从合法的 DHCP Serve获取IP地址。2、DHCP snooping作用DHCP snooping的主要作用就是隔绝私接的DHC

3、Pserver,防止网络因多个DHCPserve而产生震荡。DHCPs no opi ng与交换机DAI技术的配合，防止ARP病毒的传播。建立并维护一张DHCP snooping的绑定表”这张表可以通过dhcpack包中的 ip和mac地址生成的，也可以通过手工指定。它是后续 DAI (Dynamic ARP Inspectio”和 IP Source GuarcK 础。这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。3、DAI的原理及作用DAI全称为Dynamic ARP Inspection译为动态ARP检 测。思科Dynamic ARP Inspe

4、ction (DA在交换机上提供IP地址和MAC地址的绑 定，并动态建立绑定关系。DAI以DHCPS no opi ng绑定表为基础，对于没有使用DHCP的服务器个别机 器可以采用静态添加ARP access-lis实现。DAI配置可以针对VLAN对于同一 VLAN内的接口即可以开启DAI也可以 关 闭。通过DAI可以控制某个端口的ARP青求报文数量，来达到防范DoS攻击的目 的。二、DHCP s no oping 及 DAI 的应用1、DHCP snooping 的应用 Switch ( con fig) #ipdhcp snoopin gSwitch ( con fig) #ipchcps

5、noopingvlanic/*vlanic 为 vlan 号。Switch (config-if) #ipchcpsnoopinglimitratenuinber广chcp 包的车专发速率，超 过就接口就 err-disable,默认不限制；Switch ( config-if)#ipdhcp snooping trust/* 这样这个端口就变成了信任端口，信任端口可以正常接收并转发DHCPOffe报文， 不记录ip和mac地址的绑定，默认是非信任端口。交换机上联端口必须为 trust 端口 Switch#ipdhcp snooping bindingmac- addressvla ni di

6、p-address in terface/* 这样可以静态 ip 禾口 mac个绑定。mac-address为设备物理地址,ip-address为设备IP地址，in terface为设备 所接交换机端口号。Switch ( con fig) #ipdhcp snooping database tftp：//dhcp_table/*因为掉电后，这张绑定表就消失了，所以要选择一个保存 的地方，ftp、tftp、flash 皆可。Dhcp_table为文件名，并且在服务器端也要建立一个相同文件名文件。2、DAI 的应用 Switch(config)#ipdhcpsnoopingvla

7、nid/*vlanid 为 vlan 号。Switch(c on fig)#ipdhcp snoopin gSwitch(c on fig)#iparp in specti onvlan id/* 定 义对 哪些VLAN进行ARP报文检测。Switch(config)#iparp inspection validatesrc-macdst-macip-address/* src-mac (源mac地址),dst-mac (目标mac地址)和ip-address (ip地址)进行检查 Switch(config-if)#iparp inspection limit ratenumber/* 定义

8、接口每秒 ARP 报文数ElMoSwitch(config-if)#iparp inspection trust/* 信任的接口不检查 arp 报文，默认是 检测。上联端口必须设为trusto三、DHCP Snoopin和DAI在应用中的问题及解决办法当一台交换机启用 DHCP Snoopingffi DAI时，该交换机的所有下联端口都具备了这种防护功能。但是默认情况下，DCHP包的检测和ARP包检测的数值都相对较低，若新接入 一台设备，向整个Vian发送ARP包进行查找。这样的话会使交换机端口进入Err-disable状态。这时，我们就必须要在相应端口更改相应的数值。当发现有端口 Err-d

9、isable时，先在交换机上查看端口 err-disable状态：Switch(config-if)#showinterfacestatuserr-disabled 通过这条命令，可以看到端 口 err-disable 的原因。根据这一条，我们可以在交换机配置中添加命令来解决这个问题:Switch(config)#errdisable/*err-disable 恢复原因。这里产生err-disable的原因有很多种，但就ARP包产生的问题，这一条要慎 用。因为不确定下联设备是否是完全可信，针对这个，我们可以在相应端口上 添加 如下命令：Switch (config-if) #ipdhcp snooping limit ratenumberSwitch (config-if) #iparpinspection limit ratenumber这里的数值默认为30,最大值为2048,我们 可以根据 实际情况更改。在端口完成配置后，必须要对端口进行shutdown和noshutdown操作，否 则 端口状态不会改变。此外，还有一条命令，配置后可以缩短故障恢复时间：Switch(config)#e