-
DAI
(計算機用語)
鎖定
DAI技術
ARP防範在全部是Cisco交換網絡裏,可以通過綁定每台設備的ip和mac地址可以解決。但是這樣做比較麻煩,可以用思科 Dynamic ARP Inspection 機制解決。
- 中文名
- DAI技術
- 外文名
- DAI
- 全 稱
- Dynamic ARP Inspection
- 類 型
- 計算機用語
DAI防範方法
思科 Dynamic ARP Inspection (DAI)在交換機上提供IP地址和MAC地址的綁定, 並動態建立綁定關係。
DAI 以 DHCP Snooping綁定表為基礎,對於沒有使用DHCP的服務器個別機器可以採用靜態添加ARP access-list實現。
DAI配置針對VLAN,對於同一VLAN內的接口可以開啓DAI也可以關閉。通過DAI可以控制某個端口的ARP請求報文數量。
通過這些技術可以防範"中間人"攻擊。
DAI配置
switch(config)#ip dhcp snooping vlan 7
switch(config)#ip dhcp snooping information option /*默認
switch(config)#ip dhcp snooping
switch(config)#ip arp inspection vlan 7
/* 定義對哪些 VLAN 進行 ARP 報文檢測
switch(config)#ip arp inspection validate src-mac dst-mac ip
/*對源,目mac和ip地址進行檢查
switch(config-if)#ip dhcp snooping limit rate 10
switch(config-if)#ip arp inspection limit rate 15 /* 定義接口每秒 ARP 報文數量
switch(config-if)#ip arp inspection trust /*信任的接口不檢查arp報文,默認是檢測
DAI注意點
對於前面dhcp-snooping的綁定表中關於端口部分,是不做檢測的;同時對於已存在於綁定表中的mac和ip對於關係的主機,不管是dhcp獲得,還是靜態指定,只要符合這個表就可以了。如果表中沒有就阻塞相應流量。
在開始應用Dynamic ARP Inspection時,交換機會記錄大量的數據包,當端口通過的數據包過多時,交換機會認為遭受DoS攻擊,從而將端口自動errdisable,造成通信中斷。為了解決這個問題,我們需要加入命令errdisable recovery cause arp-inspection。