Dynamic ARP Inspection (DAI) - проверяет корректность ARP-пакетов, сверяя указанные в них MAC- и IP-адреса с доверенной базой. Эта база формируется либо вручную (статические записи), либо автоматически через DHCP Snooping.
DAI пропускает только те ARP-пакеты, которые совпадают с доверенными данными.
Каждый порт, когда включен DAI, может быть либо trusted «доверенным», либо untrusted «недоверенным». На недоверенных портах производится проверка ARP-пакетов, на доверенных портах такой проверки нет.
Для работы данной функции необходимо настроить DHCP Snooping Binding, подробнее смотрите в соответствующем разделе.
Включение DAI в vlan 33:
SW1(config)#ip arp inspection vlan 33
По умолчанию все порты не являются доверенными
Настройка trust порта:
SW1(config)#int ethernet 1/0/8 SW1(config-if-ethernet1/0/8)#ip arp inspection trust
Ограничение количества ARP пакетов на порту (50 в секунду):
SW1(config-if-ethernet1/0/1)#ip arp inspection limit-rate 50
Проверка:
Сначала очищаем ARP-кеш в Windows следующей командой: arp -d
Устанавливаем фиксированный IP-адрес на ПК1: 192.168.33.4, а затем пингуем адрес 192.168.33.100.
Включаем debug arp inspection:
SW1#debug ip arp inspection ip arp inspection debug is on SW1#%Jan 03 03:15:37 2006 Receive a arp message from port Ethernet1/0/1 %Jan 03 03:15:37 2006 Decode ARP message %Jan 03 03:15:37 2006 destination mac : ff-ff-ff-ff-ff-ff %Jan 03 03:15:37 2006 source mac : 3c-97-0e-d1-ad-29 %Jan 03 03:15:37 2006 sender ip 192.168.33.4 sender mac 3c-97-0e-d1-ad-29 %Jan 03 03:15:37 2006 target ip 192.168.33.100 target mac 00-00-00-00-00 %Jan 03 03:15:37 2006 Get no dhcp snooping binding for source and input port is untrusted, drop it
Как видно из debug сообщений, пакет ARP отклоняется, поскольку порт не является доверенным и у нас нет соответствующей записи в таблице DHCP snooping binding.
Меняем адрес ПК1 на динамический. Соответствующая запись появится в таблице DHCP snooping binding:
SW1(config)#show ip dhcp snooping binding all ip dhcp snooping static binding count:0, dynamic binding count:1 MAC IP address Interface Vlan ID Flag 3c-97-0e-d1-ad-29 192.168.33.4 Ethernet1/0/1 33 D
Включаем debug и пингуем адрес 192.168.33.100
SW1#debug ip arp inspection ip arp inspection debug is on SW1#%Jan 03 03:26:23 2006 Receive a arp message from port Ethernet1/0/1 %Jan 03 03:26:23 2006 Decode ARP message %Jan 03 03:26:23 2006 destination mac : ff-ff-ff-ff-ff-ff %Jan 03 03:26:23 2006 source mac : 3c-97-0e-d1-ad-29 %Jan 03 03:26:23 2006 sender ip 192.168.33.4 sender mac 3c-97-0e-d1-ad-29 %Jan 03 03:26:23 2006 target ip 192.168.33.100 target mac 00-00-00-00-00 %Jan 03 03:26:23 2006 Get dhcp snooping binding for source %Jan 03 03:26:23 2006 Source check OK %Jan 03 03:26:23 2006 Broadcast arp, get no output port by dhcp snooping binding table and forward it to ports in vlan 33
Пинг возможен, debug сообщения показывают, что проверка ARP-пакета прошла успешно.
