码迷,mamicode.com
首页 > 其他好文 > 详细

数据链路层安全之动态arp检测

时间:2014-09-21 03:15:00      阅读:301      评论:0      收藏:0      [点我收藏+]

标签:arp攻击和欺骗防护   动态arp   数据链路层安全   

动态ARP检测(DAI)介绍

  动态arp检测(DAI),是一种验证网络中arp报文的安全特性。启用DAI的端口会检测所有arp报文,转发合法的arp报文,对于违规的arp报文进行拦截、记录和丢弃,这样就有效的防范了ARP攻击以及ARP欺骗。

DAI技术会根据dhcp监听生成的dhcp绑定表以及IP源防护中静态配置的静态IP源绑定表的内容对ARP报文进行检测。当arp报文中的MAC地址和IP 地址的绑定关系和dhcp监听绑定表或IP源防护配置的静态绑定条目不匹配,或者arp报文进入的端口、VLAN等信息与绑定表中的条目不匹配,则该arp报文为违规报文,交换机将丢弃报文并记录违规行为。对于端口还可以设定arp报文速率,当端口接收到的arp报文速率超出规定值时,交换机会将端口设置为err-disabled状态。

dhcp监听类似,DAI也将交换机端口分为信任端口和非信任端口,交换机之间互联链路为信任链路,用户端口为非信任端口。交换机检测非信任端口的所有arp报文。

使用静态IP地址的服务器如果连接在非信任端口,则需要配置静态IP源防护绑定表,另外dhcp服务器的端口需要配合dhcp监听信任端口。

 

由于启用DAI的交换机端口会将该端口接收到的所有arp数据包都交由CPU进行处理,所以当arp报文较多时,将会大量消耗cpu资源。当开始应用DAI时,交换机会记录大量报文,端口报文过多时,交换机可能会认为端口受到攻击而将端口置为err-disabled状态造成通信中断,这时需要设置端口err-disabled恢复的愿意,然后在配置自动恢复时间。 

 

注意:目前之后三层交换机才支持DAI技术,而且建议交换机型号是4系列以上的交换机。

 

动态arp检测配置

1)  在指定的vlan启用DAI

默认情况下,所有vlan均没有启用DAI,若要配置在某vlan中启用DAI可以使用如下命令。

Switch(config)#ip arp inspection vlan 10

 

2)  配置信任接口

在某vlan启用DAI后,属于该vlan的端口均为非信任状态,若要配置端口为信任端口,在端口模式中使用如下命令。

Switch(config)#ip arp inspection trust

 

3)  限制入站APP报文速率

使用DAI还可以限制端口接收APP报文的速率

Switch(config)#ip arp inspection limit rate 20

 

4)  查看DAI相关配置与状态

    查看启用DAI相关配置与状态

          Switch#show ip arp inspection interfaces

    查看启用DAIvlan相关信息

         Switch#show ip arp inspection vlan 10

    查看启用DAIvlan中数据包信息(包括转发、丢弃的数量等)

         Switch#show ip inspection statistics vlan10

         另外,可以直接使用show ip arp inspection 查看整体情况

 

 

本文出自 “梅花香自苦寒来” 博客,请务必保留此出处http://wangjunkang.blog.51cto.com/8809812/1555816

数据链路层安全之动态arp检测

标签:arp攻击和欺骗防护   动态arp   数据链路层安全   

原文地址:http://wangjunkang.blog.51cto.com/8809812/1555816

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!