DAI

思科 Dynamic ARP Inspection （DAI）在交換機上提供IP地址和MAC地址的綁定， 並動態建立綁定關係。

DAI 以 DHCP Snooping綁定表為基礎，對於沒有使用DHCP的服務器個別機器可以採用靜態添加ARP access-list實現。

DAI配置針對VLAN，對於同一VLAN內的接口可以開啓DAI也可以關閉。通過DAI可以控制某個端口的ARP請求報文數量。

通過這些技術可以防範"中間人"攻擊。

switch（config）#ip dhcp snooping vlan 7

switch（config）#ip dhcp snooping information option /*默認

switch（config）#ip dhcp snooping

switch（config）#ip arp inspection vlan 7

/* 定義對哪些 VLAN 進行 ARP 報文檢測

switch（config）#ip arp inspection validate src-mac dst-mac ip

/*對源，目mac和ip地址進行檢查

switch（config-if）#ip dhcp snooping limit rate 10

switch（config-if）#ip arp inspection limit rate 15 /* 定義接口每秒 ARP 報文數量

switch（config-if）#ip arp inspection trust /*信任的接口不檢查arp報文，默認是檢測

對於前面dhcp-snooping的綁定表中關於端口部分，是不做檢測的;同時對於已存在於綁定表中的mac和ip對於關係的主機，不管是dhcp獲得，還是靜態指定，只要符合這個表就可以了。如果表中沒有就阻塞相應流量。

在開始應用Dynamic ARP Inspection時，交換機會記錄大量的數據包，當端口通過的數據包過多時，交換機會認為遭受DoS攻擊，從而將端口自動errdisable，造成通信中斷。為了解決這個問題，我們需要加入命令errdisable recovery cause arp-inspection。