6.1. Общие сведения о Dynamic ARP Inspection
Функция контроля динамических ARP (Dynamic ARP Inspection или DAI) - это функция безопасности, которая позволяет проверять пакеты ARP в сети. Через DAI администратор может перехватывать, записывать и отбрасывать пакеты ARP, которые имеют неверный MAC-адрес или IP-адрес.
DAI позволяет проверить легитимность пакетов ARP в соответствии с легитимными IP и MAC-адресами, содержащимися в доверенной базе данных. Эта база может быть создана динамически, с помощью мониторинга DHCP. Если пакет ARP получен из доверенного для DAI порта, коммутатор пересылает его напрямую, без проверки. Если пакет ARP получен из порта, который не является доверенным, коммутатор передаст только легитимный пакет, нелегитимные пакеты коммутатор будет отбрасывать и записывать это действие.
6.2. Настройка Dynamic ARP Inspection
Включить DAI на VLAN;
Задать доверенный порт;
Настроить допустимую скорость ARP c портов.
Включить DAI на VLAN;
Команда | Описание |
|---|---|
ip arp inspection vlan <vlan-id> no ip arp inspection vlan <vlan-id> ! В режиме глобальной конфигурации | Включить DAI на основе VLAN <vlan-id> Выключить DAI на основе VLAN <vlan-id> |
2. Задать доверенный порт;
Команда | Описание |
|---|---|
ip arp inspection trust no ip arp inspection trust ! В режиме конфигурации порта | Настроить порт как доверенный порт для DAI Настроить порт как недоверенный порт для DAI (по-умолчанию) |
3. Настроить допустимую скорость ARP c портов.
Команда | Описание |
|---|---|
ip arp inspection limit-rate <rate> no ip arp inspection limit-rate <rate> ! В режиме конфигурации порта | Настроить лимит ARP-сообщений в секунду для порта Удалить лимит ARP-сообщений (по-умолчанию) |
6.3. Пример использования Dynamic ARP Inspection
DHCP-сервер и ПК пользователя принадлежат VLAN10. МAC-адрес DHCP-сервера 00-24-8c-01-05-90, IP адрес 192.168.10.2 настроен статически, DHCP-сервер подключен к интерфейсу eth1/0/1 коммутатора. MAC-адрес другого сервера 00-24-8c-01-05-80, IP адрес 192.168.10.2 настроен статически, сервер подключен к интерфейсу eth1/0/2 коммутатора. MAC-адрес ПК пользователя 00-24-8c-01-05-96, IP адрес назначается динамически через DHCP, ПК подключен к интерфейсу eth1/0/3 коммутатора. Интерфейс 3 уровня VLAN10 имеет адрес 192.168.10.1, MAC адрес f8-f0-82-10-00-01.
Конфигурация коммутатора выглядит следующим образом:
ip arp inspection vlan 10 ip dhcp snooping enable ip dhcp snooping vlan 10 ! Interface Ethernet1/0/1 description connect DHCP Server switchport access vlan 10 ip dhcp snooping trust ip arp inspection limit-rate 50 ip arp inspection trust ! Interface Ethernet1/0/2 description connect to Other Server switchport access vlan 10 ip arp inspection limit-rate 50 ! Interface Ethernet1/0/3 description connect to PC switchport access vlan 10 ip arp inspection limit-rate 50 ! interface Vlan10 ip address 192.168.10.1 255.255.255.0
В этом случае коммутатор будет перехватывать сообщения ARP со всех портов, кроме eth1/0/1, который настроен как доверенный. Каждый раз при получении сообщения ARP, функционал DAI сравнит данные в сообщении с записью в базе, сформированной в процессе мониторинга DHCP. После того, как запись была добавлена, хост может настроить статически тот адрес, который был получен динамически. Но в случае c сервером, имеющим статический адрес и подключенном к eth1/0/2, такая запись, создана не будет и ARP-ответы пропускаться не будут.