资源放送 

↓ 扫一扫 ↓

领取动态ARP检测技术录屏资料

Dynamic ARP Inspection简介

Dynamic ARP Inspection（动态ARP检测）功能，简称DAI功能。通过检查ARP（Address Resolution Protocol，地址解析协议）报文的合法性，发现并防止ARP欺骗攻击，增强网络安全性。DAI功能主要分为以下两类：

1.端口DAI功能：对指定端口接收到的ARP报文进行合法性检测，便于发现并防止ARP欺骗攻击。

ARP报文合法性检测的依据为端口IP source Guard绑定表项，具体检测原理：接收到的ARP报文中，发送端IP地址，源MAC地址及VLAN ID与端口IP source Guard绑定表项完全匹配，则该ARP报文为合法报文，对其进行转发；否则，该ARP报文为非法报文，将其丢弃，并记录日志信息。

2.全局DAI功能：对所有端口接收到的ARP报文进行合法性检测，防止伪冒用户发送伪造的ARP报文，导致设备建立错误的ARP表项。

ARP报文合法性检测的依据为全局IP source Guard绑定表项，具体检测原理：接收到的ARP报文中，发送端IP地址与全局IP source Guard绑定表项中的IP地址相同，但源MAC地址不同时，该ARP报文为伪造报文，将其丢弃，不记录日志信息。

端口DAI，全局DAI功能还会对ARP报文进行有效性检测，具体检测原理：接收到的ARP报文中的源MAC地址与发送端的MAC地址不同，则该报文为无效报文，将其丢弃，不记录日志信息。

3.端口ARP攻击检测：对指定端口接收到的ARP报文不进行合法性检测，只记录日志信息，用于发现ARP攻击。

配置端口Dynamic ARP Inspection功能

配置条件：

在配置端口Dynamic ARP Inspection功能前，首先要完成以下任务：

1、配置端口IP Source Guard绑定表项

使能端口DAI功能后，系统会依据端口IP Source Guard绑定表项，对端口接收到的ARP报文进行合法性检测，非法报文会被丢弃，并被记录到日志中。日志中记录的内容包括：VLAN ID，接收端口，发送端IP地址，目的IP地址，发送端MAC地址，目的MAC地址，相同非法ARP报文数。

用户可以根据记录的日志信息来作进一步分析，缺省情况下，日志信息周期性输出，可通过配置日志输出间隔时间来控制报文的记录，输出及老化。日志输出间隔时间作为以下日志相关参数的基础值：

① 日志刷新周期：用于判断日志是否需输出及老化。如果配置的日志输出间隔时间小于5秒，则日志刷新周期等于1秒，否则，日志刷新周期等于五分之一的日志输出间隔时间；

② 日志老化时间：老化时间超时后，日志会被删除。日志老化时间为两倍的日志输出间隔时间；

③ 日志令牌：日志刷新周期内，允许记录最大的日志数目。日志令牌数为15倍的日志刷新周期值。

使能端口DAI功能后，还可以配置端口ARP限速功能，即对每秒处理的ARP报文数目进行限制，避免系统由于长期处理大量ARP报文，导致其他协议报文无法及时得到处理。

说明：

端口ARP限速功能，即对每秒处理的ARP报文数目进行限制，避免系统由于长期处于大量ARP报文，导致其他协议报文无法及时得到处理。一秒内接收到的ARP报文数目超过速率上限值后，这一秒内后续接收到的ARP报文会被丢弃。如果端口连续20秒接收到的ARP报文都超速，则会将相应的端口关闭，来隔离报文冲击源。

• 进入二层以太接口配置模式：interface interface-name；

• 使能端口DAI功能：ip arp inspection；

• 配置端口处理ARP报文的上限值：ip arp inspection；

• rate-limit limit-value：缺省情况下，端口处理ARP报文的上限值为15pps

• 回退到全局配置模式 exit；

• 配置缓存日志数目：ip arp inspection；

• log-buffer buffer-size：缺省情况下，系统可以缓存的日志数为32，配置为0，表示日志不进行缓存，即检测到非法ARP报文后，日志直接输出到终端；

• 配置日志输出间隔时间：ip arp inspection。

log-interval seconds：

缺省情况下，日志输出间隔时间为20秒，配置为0，表示日志的输出不需等待，即检测到非法ARP报文后，日志直接输出到终端。

• 配置日志输出级别：ip arp inspection；

• log-level log-level：缺省情况下，日志输出级别为6。

说明：

1.端口DAI功能使能后，对应端口收到的所有ARP报文（广播ARP及单播ARP）都重定向到CPU进行检测、软件转发、日志记录等，当ARP报文量较大时会严重消耗CPU资源，因此，在设备通信正常的情况下，不建议使能端口DAI功能，当怀疑网络中存在ARP欺骗攻击时，才需要使能端口DAI功能来进行检测和定位。

2.同一端口下，端口DAI功能不能与端口安全功能同时使能。

3.在汇聚组配置模式下配置端口处理ARP报文速率上限值后，该汇聚组的每个成员端口的ARP报文速率上限值均为该值。

配置全局Dynamic ARP Inspection功能

配置条件：在配置全局Dynamic ARP Inspection功能前，首先完成以下任务：

配置全局IP Source Guard绑定表项。

使能全局DAI功能后，系统会依据全局IP Source Guard绑定表项，对接收到的ARP报文进行合法性检查，非法报文直接丢弃，不会记录日志。

• 进入全局配置模式：configure terminal；

• 使能全局DAI功能: arp-security。

配置Dynamic ARP Inspection ARP攻击检测

使能ARP攻击检测后，系统会对接收到的ARP报文不进行合法性检查，只记录日志。

• 进入全局配置模式：configure terminal；

• 进入二层以太接口配置模式：interface interface-name；

• 使能端口ARP攻击检测：ip arp inspection attack。

配置DAI基本功能：

网络需求：

① PC1，PC2通过Device接入IP Network；② 在Device上配置端口DAI功能，防止ARP攻击和欺骗。

网络拓扑：

配置步骤：

步骤1：

在Device上配置VLAN和端口的链路类型:

#创建VLAN2。
Device#configure terminal
Device(config)#vlan 2
Device(config-vlan2)#exit
#配置端口gigabitethernet 0/1的链路类型为Access，允许VLAN2的业务通过。
Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#switchport mode access  
Device(config-if-gigabitethernet0/1)#switchport access vlan 2
Device(config-if-gigabitethernet0/1)#exit

步骤2：

在Device上配置端口DAI功能:

#在端口gigabitethernet0/1上使能端口DAI功能，并配置端口gigabitethernet0/1处理ARP报文的上限值为30pps。
Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ip arp inspection
Device(config-if-gigabitethernet0/1)#ip arp inspection rate-limit 30
Device(config-if-gigabitethernet0/1)#exit

步骤3：

在Device上配置绑定表项:

#在端口gigabitethernet0/1上配置MAC地址为0012.0100.0001，IP地址为192.168.1.2，VLAN为2的端口IP Source Guard绑定表项。
Device(config)#interface gigabitethernet 0/1
Device(config-if-gigabitethernet0/1)#ip source binding 0012.0100.0001 vlan 2 192.168.1.2
Device(config-if-gigabitethernet0/1)#exit

步骤4：

检验结果:

#查看DAI相关配置信息。
Device#show ip arp inspection
        Dynamic ARP Inspection information:
        Dynamic ARP Inspection log buffer size: 30
        Dynamic ARP Inspection log Interval:    20
        Dynamic ARP Inspection log Level:       6
        Dynamic ARP Inspection interface information :
        -------------------------------------------
        interface            status     rate-limit(pps)  attack
        gi0/1                enable     30               OFF
        gi0/2                disable    15               OFF
        ……
#当端口gigabitethernet0/1接收ARP报文的速率超过30pps时，Device会将超过速率的报文丢弃，并输出以下提示信息。
Jan  1 02:21:06: The rate on interface gigabitethernet0/1 too fast ,the arp packet drop!
#当端口gigabitethernet0/1接收ARP报文的速率超过30pps且持续20秒时，Device将关闭端口gigabitethernet0/1，并输出以下提示信息。
Jan  1 02:21:26: %LINK-INTERFACE_DOWN-4: interface gigabitethernet0/1, changed state to down
Jan  1 02:21:26: The rate of arp packet is too fast,dynamic arp inspection shut down the gigabitethernet0/1 !
#当端口gigabitethernet0/1接收到的ARP报文与绑定表项不一致时，Device记录以下格式的非法信息到DAI日志中，并定时输出。
Jan  1 07:19:49:  SEC-7-DARPLOG: sender IP address: 192.168.1.3 sender MAC address:0011.0100.0001 target IP address: 0.0.0.0 target MAC address:0000.0000.0000 vlan ID:2 interface ID: gigabitethernet0/1 record packet :32 packet(s)
#查看DAI日志。
Device#show ip arp inspection log-information
LogCountInBuffer:1
SEC-7-DARPLOG: sender IP address: 192.168.1.3 sender MAC address:0011.0100.0001 target IP address: 0.0.0.0 target MAC address:0000.0000.0000 vlan ID:2 interface ID:gigabitethernet0/1 record packet :0 packet(s)

DAI与DHCP Snooping联用：

网络需求：

1.PC1、PC2通过Device1接入IP Network，PC2为DHCP客户端，Device2为DHCP中继。

2.Device1配置DHCP Snooping及端口DAI功能，实现PC2能正常访问IP Network，PC1不能访问IP Network。

网络拓扑：

配置步骤：

步骤1：

在Device1上配置VLAN和端口的链路类型:

#创建VLAN3。
Device1#configure terminal
Device1(config)#vlan 3
Device1(config-vlan3)#exit
#配置端口gigabitethernet0/1和端口gigabitethernet0/2的链路类型为Access，都允许VLAN3的业务通过。
Device1(config)#interface gigabitethernet 0/1-0/2
Device1(config-if-range)#switchport access vlan 3
Device1(config-if-range)#exit

步骤2：

在Device2上配置VLAN和端口的链路类型:

#创建VLAN2和VALN3。
Device2#configure terminal
Device2(config)#vlan 2-3
#配置端口gigabitethernet0/1和端口gigabitethernet0/2的链路类型为Access，端口gigabitethernet0/1允许VLAN2的业务通过，端口gigabitethernet0/2允许VLAN3的业务通过。
Device2(config)#interface gigabitethernet 0/1
Device2(config-if-gigabitethernet0/1)#switchport mode access
Device2(config-if-gigabitethernet0/1)#switchport access vlan 2
Device2(config-if-gigabitethernet0/1)#exit
Device2(config)#interface gigabitethernet 0/2
Device2(config-if-gigabitethernet0/2)#switchport mode access
Device2(config-if-gigabitethernet0/2)#switchport access vlan 3
Device2(config-if-gigabitethernet0/2)#exit

步骤3：

在Device1和Device2上配置对应VLAN接口及IP地址。（略）

步骤4：

在Device1上配置DHCP Snooping功能:

#使能DHCP Snooping功能，配置端口gigabitethernet0/2为信任端口。
Device1(config)#dhcp-snooping
Device1(config)#interface gigabitethernet 0/2
Device1(config-if-gigabitethernet0/2)#dhcp-snooping trust
Device1(config-if-gigabitethernet0/2)#exit

步骤5：

在Device1上配置端口DAI功能：

#端口gigabitethernet0/1上使能端口DAI功能。
Device1(config)#interface gigabitethernet 0/1
Device1(config-if-gigabitethernet0/1)#ip arp inspection
Device1(config-if-gigabitethernet0/1)#exit

步骤6：

在Device2上配置DHCP中继服务器IP地址：

#配置DHCP中继服务器IP地址为198.168.2.1。
Device2(config)#ip dhcp-server 192.168.2.1

步骤7：

检验结果：

#PC2成功获取到地址后，在Device1上查看DHCP Snooping动态表项。
Device1#show dhcp-snooping database
        dhcp-snooping database:
        database entries count:1
        database entries delete time :300
        ---------------------------------
        macAddr          ipAddr           transtion-id     vlan   interface            leaseTime(s)     status    
        0013.0100.0001   192.168.1.100    2                2      gi0/1               107990           active   
#PC2能正常访问IP Network，PC1不能访问IP Network。

推荐阅读

>>>【独家首发】新版HCIE考试解读直播回顾
>>> 重磅！华为HCIE认证改版升级通知！
>>>【命令解析】Linux用户行为的常用命令
>>> 网工必备通信基础知识，还不知道你就out了？
>>>【必备干货】网工入门必会桥接教程，外网+GNS3+Vmware
>>>【技术指南】5分钟搞清楚OSPF链路状态路由协议