动态arp检测原理及应用.docxVIP

动态ARP检测原理及应用 在一个局域网中，网络安全可以通过多种方式来实现，而采取 DHCP snooping （DIICP防护）及DAI检测（ARP防护）这种技术，保 护接入交换机的每个端口，可以让网络更加安全，更加稳定，尽可能 的减小屮毒范围，不因病毒或木马导致全网的瘫痪。 下面将详细的对这种技术的原理和应用做出解释。 一、 相关原理及作用 1 DHCP snooping 原理 DIICP Snooping技术是DIICP安全特性，通过建立和维护DIICP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来口不信 任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户 MAC地址、IP地址、租用期、VLAN-ID接口等信息。 当交换机开启了 DHCP-Snooping后，令寸DHCP报文进行侦听”, 并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP 地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设 置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DIICP Offer报文丢弃。这 样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从 合法的DHCP Server获取IP地址。 2、DHCP snooping 作用 DHCP snooping的主要作用就是隔绝私接的DHCP server,防止 网络因多个DHCPserver而产生震荡。 DHCP snooping与交换机DAI技术的配合，防止ARP病毒的传播。 建立并维护一张DHCP snooping的“绑定表”，这张表可以通过 dhcpack包中的ip和mac地址生成的，也可以通过手工指定。它是 后续 DAI (Dynamic ARP Inspection)和 IP Source Guard 基础。 这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法， 来限制用户连接到网络的。 3、DAI的原理及作用 DAI 全称为 Dynamic ARP Inspection,译为动态 ARP 检测。 思科Dynamic ARP Inspection (DAI)在交换机上提供IP地址和 MAC地址的绑定，并动态建立绑定关系。DAI以DHCPSnooping绑 定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态 添加 ARP access-list 实现。 DAT配置可以针对VLAN,对于同一 VMN内的接口即可以开启 DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数 量，来达到防范DoS攻击的目的。 二、 DHCP snooping 及 DAI 的应用 1 DHCP snooping 的应用 Switch (config) ttipdhcp snooping Switch (config) #ipdhcp snooping vlanid /* via.n id 为 vlan 号。 SwitchCconfig-if)#ipdhcp snooping limit rate number 包的转发速率，超过就接口就err-disable,默认不限制； Switch (config-if) ttipdhcp snooping trust /*这样这个端 口就变成了信任端口 ,信任端口可以正常接收并转发DHCP Offer 报文，不记录ip和mac地址的绑定，默认是非信任端口。交换机 上联端口必须为trust端口 Switchftipdhcp snooping binding mac-addressvlan idip-addressinterface interface /*这样可以静态 ip 和 mac 一个绑定。mac-address为设备物理地址，ip-address为设备IP 地址，interface为设备所接交换机端口号。 Switch (config) ttipdhcp snooping database tftp:// 10. 1. 1. l/dhcp_table /*因为掉电后，这张绑定表就消失了， 所以要选择一个保存的地方，ftp tftp flash皆可。Dhcp_table 为文件名，并且在服务器端也要建立一个和同文件名文件。 2、 DAI的应用 Switch (config) ttipdhcp snooping vlanid /* vlan id 为 vlan 号。 Switch(config)#ipdhcp snooping Switch (config) ttiparp inspection vlan id/^ 定义对哪些 VLAN进行ARP报文检测。 Switch(c