动态ARP检测原理及应用

动态ARP检测原理及应用
在一个局域网中，网络平安能够通过量种方式来实现，而采取DHCP snooping（DHCP防护）及DAI检测（ARP防护）这种技术，爱惜接入互换机的每一个端口，能够让网络加倍平安，加倍稳固，尽可能的减小中毒范围，不因病毒或木马致使全网的瘫痪。

下面将详细的对这种技术的原理和应用做出说明。

一、相关原理及作用
1、DHCP snooping原理
DHCP Snooping技术是DHCP平安特性，通过成立和保护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。

DHCP Snooping绑定表包括不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

当互换机开启了 DHCP-Snooping后，会对DHCP报文进行“侦听”，并能够从接收到的DHCP Request或DHCP Ack报文中提取并记录IP 地址和MAC地址信息。

另外，DHCP-Snooping许诺将某个物理端口设置为信任端口或不信任端口。

信任端口能够正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文抛弃。

如此，能够完成互换机对冒充DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

二、DHCP snooping作用
DHCP snooping的要紧作用确实是隔间私接的DHCP server，避免网络因多个DHCPserver而产生震荡。

DHCP snooping与互换机DAI技术的配合，避免ARP病毒的传播。

成立并保护一张DHCP snooping的“绑定表”，这张表能够通过dhcp ack包中的ip和mac地址生成的，也能够通过手工指定。

它是后续DAI（Dynamic ARP Inspection）和IP Source Guard 基础。

这两种类似的技术，是通过这张表来判定ip或mac地址是不是合法，来限制用户连接到网络的。

3、DAI的原理及作用
DAI全称为Dynamic ARP Inspection，译为动态ARP检测。

思科 Dynamic ARP Inspection (DAI)在互换机上提供IP地址和MAC地址的绑定，并动态成立绑定关系。

DAI以DHCP Snooping 绑定表为基础，关于没有利用DHCP的效劳器个别机械能够采纳静态添加ARP access-list实现。

DAI配置能够针对VLAN，关于同一VLAN内的接口即能够开启DAI也能够关闭。

通过DAI能够操纵某个端口的ARP请求报文数量，来达到防范DoS解决的目的。

二、DHCP snooping及DAI的应用
一、DHCP snooping的应用
Switch（config）# ip dhcp snooping
Switch（config）# ip dhcp snooping vlan id/* vlan id 为vlan号。

Switch（config-if）#ip dhcp snooping limit rate number
/*dhcp包的转发速度，超过就接口就err-disable，默许不限制; Switch（config-if）# ip dhcp snooping trust/*如此那个端口就变成了信任端口，信任端口能够正常接收并转发DHCP Offer报文，不记录ip和mac地址的绑定，默许是非信任端口。

互换机上联端口必需为trust端口
Switch# ip dhcp snooping binding mac-address vlan id
ip-address interface interface /*如此能够静态ip和mac一个绑定。

mac-address为设备物理地址， ip-address为设备IP
地址，interface为设备所接互换机端口号。

Switch（config）#ip dhcpdhcp_table/*因为掉电后，这张
绑定表就消失了，因此要选择一个保留的地址，ftp、tftp、flash 皆可。

Dhcp_table为文件名，而且在效劳器端也要成立一个相同文件名文件。

2、DAI的应用
Switch(config)#ip dhcp snooping vlan id /* vlan id为vlan号。

Switch(config)#ip dhcp snooping
Switch(config)#ip arp inspection vlan id/* 概念对哪些VLAN 进行 ARP 报文检测。

Switch(config)#ip arp inspection validate src-mac
dst-mac ip-addres s/*对src-mac（源mac地址）, dst-mac（目标mac地址）和ip-address（ip地址）进行检查Switch(config-if)#ip arp inspection limit rate number /* 概念接口每秒 ARP 报文数量。

Switch(config-if)#ip arp inspection trust /*信任的接口不检查arp报文,默许是检测。

上联端口必需设为trust。

三、DHCP Snooping 和DAI在应用中的问题及解决方法
当一台互换机启用DHCP Snooping 和DAI时，该互换机的所有下联端口都具有了这种防护功能。

可是默许情形下，DCHP包的检测和ARP包检测的数值都相对较低，假设新接入一台设备，向整个Vlan 发送ARP包进行查找。

如此的话会使互换机端口进入Err-disable状态。

这时，咱们就必需要在相应端口更改相应的数值。

当发觉有端口Err-disable时，先在互换机上查看端口err-disable状态：
Switch(config-if)# show interface interface status err-disabled
通过这条命令，能够看到端口err-disable的缘故。

依照这一条，咱们能够在互换机配置中添加命令来解决那个问题：Switch(config)# errdisable recovery cause reason /*err-disable恢恢复因。

那个地址产生err-disable的缘故有很多种，但就ARP包产生的问题，这一条要慎用。

因为不确信下联设备是不是是完全可信，针对那个，咱们能够在相应端口上添加如下命令：
Switch（config-if）#ip dhcp snooping limit rate number Switch（config-if）#ip arp inspection limit rate number 那个地址的数值默以为30，最大值为2048，咱们能够依如实际情形更改。

在端口完成配置后，必需要对端口进行shutdown 和no shutdown操作，不然端口状态可不能改变。

另外，还有一条命令，配置后能够缩短故障恢复时刻：
Switch(config)#errdisable recovery interval time /*time 为时刻，区间为30－86400秒，默以为300秒。

通过对原理的明白得和相关参数命令的配置后，不仅能提升咱们网络的平平稳固性，而且还能够对一些特殊端口采取特殊的配置以实现更为丰硕又平安的应用。