cisco dar

簡介

cisco的DAI技術

ARP防範在全部是Cisco交換網路里，可以通過綁定每台設備的ip和mac地址可以解決。但是這樣做比較麻煩，可以用思科 Dynamic ARP Inspection 機制解決。

防範方法

思科 Dynamic ARP Inspection (DAI)在交換機上提供IP位址和MAC地址的綁定，並動態建立個別機器系。DAI 以 DHCP Snooping綁定表為基礎，對於沒有使用DHCP的伺服器個別機器可以採用靜態添加ARP access-list實現。DAI配置針對VLAN，對於同一VLAN內的接口可以開啟D內的接口關閉。通過DAI可以控制某個連線埠的ARP請求報文數量。通過這些技術可以防範“中間人”攻擊。

配置示例

IOS 全局命令：

ip dhcp snooping vlan 100,200

no ip dhcp snooping information option

ip dhcp snooping

ip arp inspection vlan 100,200 /* 定義對哪些 VLAN 進行 ARP 報文檢測

ip arp inspection log-buffer entries 1024

ip arp inspection log-buffer logs 1024 interval 10

IOS 接口命令：

ip dhcp snooping trust

ip arp inspection trust /* 定義哪些接口是信任接口，通常是網路設備接口， TRUNK 接口等

ip arp inspection limit rate 15 (pps) /* 定義接口每秒 ARP 報文數量

對於沒有使用 DHCP 設備可以採用下面辦法：

arp access-list static-arp

permit ip host 10.66.227.5 mac host 0009.6b88.d387

ip arp inspection filter static-arp vlan 201

配置DAI後的效果：

在配置 DAI技術的接口上，用戶端不能採用指定地址地址將接入網路。

由於 DAI檢查 DHCP snooping綁定表中的IP和MAC對應關係，無法實施中間人攻擊，攻擊工具失效。

下表為實施中間人攻擊是交換機的警告：

3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16,

vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2

cisco dar

基本介紹

簡介

防範方法

配置示例

相關詞條

熱門詞條