11.4 Mitigate ARP Attacks
Dynamic ARP Inspection
DAI нужен, чтобы switch не пересылал ложные ARP packets.
Он помогает против:
ARP spoofing;ARP poisoning.
DAI (Dynamic ARP Inspection) — switch feature, которая валидирует ARP packets перед их forwarding. abbreviation
Что именно делает DAI
Модуль выделяет такие действия:
- intercept ARP Requests/Replies на untrusted ports;
- verify IP-to-MAC bindings;
- drop invalid / gratuitous ARP Replies;
- log invalid events;
- может error-disable interface при excess ARP rate.
Самая важная зависимость
DAI requires DHCP SnoopingПотому что DAI опирается на DHCP snooping binding table.
Implementation guidelines
Нужно:
- включить DHCP snooping globally;
- включить DHCP snooping на нужных VLANs;
- включить DAI на тех же VLANs;
- uplinks сделать trusted;
- access ports оставить untrusted.
Базовая конфигурация
ip dhcp snooping
ip dhcp snooping vlan 10
ip arp inspection vlan 10
interface fa0/24
ip dhcp snooping trust
ip arp inspection trustip arp inspection vlan 10 ciscoIOScommand
Включает DAI на VLAN 10.
ip arp inspection trust ciscoIOScommand
Делает interface trusted для ARP inspection.
Validate options
DAI можно заставить дополнительно сверять:
src-macdst-macip
Пример:
ip arp inspection validate src-mac dst-mac ipip arp inspection validate src-mac dst-mac ip ciscoIOScommand
Включает дополнительные проверки source MAC, destination MAC и IP fields в ARP packets.
Verify
DHCP snooping и DAI обычно проверяют вместе:
show ip dhcp snooping
show ip dhcp snooping bindingExam trap
Если включил DAI, но не включил DHCP snooping на нужных VLANs, нормальной работы ждать нельзя.
Если понял тему
Ты можешь объяснить, почему switch начинает “не доверять” ARP packets на access ports и как binding table помогает отличать валидный ARP от spoofed ARP.