Для предотвращения ARP Spoofing коммутатор должен убедиться, что только валидные ARP-запросы и ответы были переданы. В типичной атаке ARP Spoofing злоумышленник может отправлять незапрашиваемые ARP-ответы другим хостам в сети со своим MAC-адресом и IP-адресом default gateway.
Dynamic ARP inspection (DAI) помогает предотвратить такие атаки. Он перехватывает все ARP-запросы и ARP-ответы на недоверенных портах. Каждый перехваченный пакет проверяется по связке IP-MAC, которая создана DHCP Snooping или вручную. Также вы можете использовать DAI для ограничения pps ARP-пакетов.
Если ARP-пакет получен с доверенного порта, тогда коммутатор не станет проверять его, а просто перешлет по назначению. Если ARP-пакет получен с недоверенного порта, тогда коммутатор перешлет его только в случае, если он пройдет проверку.
Рассмотрим пример настройки.
Хорошим тоном является настраивать все абонентские порты, как недоверенные. Ограничим скорость пересылки ARP-пакетов на всех портах до 50 pps. Зададим доверенные и недоверенные порты.
В режиме глобальной конфигурации включим ARP Inspection и DHCP Snooping в VLAN 10:
(config)#ip dhcp snooping enable (config)#ip dhcp snooping vlan 10 (config)#ip dhcp snooping binding enable (config)#ip arp inspection vlan 10
Настроим доверенным порт 1/0/1:
(config)#int e1/0/1 (config-if-ethernet1/0/1)#switchport access vlan 10 (config-if-ethernet1/0/1)#ip dhcp snooping trust (config-if-ethernet1/0/1)#ip arp inspection trust (config-if-ethernet1/0/1)#ip arp inspection limit-rate 50 (config-if-ethernet1/0/1)exit
Настроим клиентские порты:
(config)#int e1/0/2-3 (config-if-port-range)#switchport access vlan 10 (config-if-port-range)#ip arp inspection limit-rate 50
Проверим статус ARP Inspection:
#sh ip arp inspection Dynamic ARP Inspection port information: ------------------------------------------------------- Port Limit-rate Status ------------------------------------------------------- Ethernet1/0/1 50 trust Ethernet1/0/2 50 untrust Ethernet1/0/3 50 untrust -------------------------------------------------------