Dynamic ARP Inspection
动态ARP监测,这个特性我们最关心的是arp数据包,它是一种验证网络中的arp包的安全特性,可以阻止,记录,非法更改ipmac地址绑定的arp数据包。
Dai是指只有合法的arp请求和回应可以传播,交换机会进行如下处理,截取所有非信任的端口的arp请求和相应,在更新arp缓存中或者数据包验证ip-mac绑定是否合法,并且丢弃非法的arp包,这样的特性可以防止arp中间人攻击,防止用户私自修改ip地址和mac地址,防止用户私自制定静态ip地址,如果一个arp请求包,那样dai肯定会检查源mac地址和ip地址,看看这个地址是否和绑定地址一致,如果一致就可以放过通行,如果不一样就放弃,这样一来可以阻止用户私自修改ip地址的目的,如果用户修改了ip,并且也没有产生冲突,但是也不会通过,那是因为dhcp绑定表里面没有它的项目,所以不会被通过,通过这一点我们可以防止用户私自指定ip的问题了,可以防止用户更改静态ip地址,个人指定的ipdhcp绑定表中不存在的,所以是不可以通信,如果你绑定的时候是用的是自动获取ip,你在一段时间内还可以上网,这是因为你还在ip的租赁期间,等到了相应的时间之后,dhcp绑定表中就相应的ip条目就不存在了。静态的指定那就更上不去了,因为你的条目在dhcp绑定表中不存在,通过dai特性检测,关键是在绑定表中有没有相关的条目。以上的功能都是居于arp请求包,我们在看看回应包,我们从路的这一段看是arp请求包,但是从另外一段看的话,那就是回应包了,它到达第一个使用安全特性的端口,也会像检测请求包一样检源macip地址,这样的话可以保证ipmac地址的合法性,正是因为有了这个特性用户不能随意更改ipmac地址,即使是修改成功了,那么也上不去网,所以就达到了避免防止中间人攻击。到现在为止,我们看到了,使用了DHCP Snooping +DAI后,我们就可以达到:避免非法DHCP服务器的冒充;避免用户私自修改IP地址或者MAC地址;避免用户私自指定静态的IP地址;避免中间人攻击。其实,除了第一个DHCP服务器的冒充,后面的这3个,都是基于ARP欺骗的招数。我们都搞定了
 
全局配置模式下:ip arp inspection vlan [id]
定义DAI检查数据包的那些部分:ip arp inspection validate [ ]
进入端口,设置成信任的或者是非信任的,同时设置速度的限制。
默认的情况下是不限速的,且是不信任的端口
注:DAI的支持只有3560以上才可以