网络互联技术(第2版)梁广民数字资源2.5.5 DAI.ppt

《网络互联技术(第2版)梁广民数字资源2.5.5 DAI.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、2.5.5DAI深圳职业技术学院梁广民（CCIE#14496）网络互联技术国家精品课程国家精品资源共享课程教育部网络技术专业教学资源库课程“十二五”职业教育国家规划教材ARPSpoofing攻击DynamicARPInspection(DAI)DAI推荐配置DAI基于DHCPSnooping来工作，DHCPSnooping监听绑定表包括IP地址与MAC地址的绑定信息，并将其与特定的交换机端口相关联，动态ARP检测可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP)，确保应答来自真正的ARP所有者。如果ARP包

2、从一个可信任的接口接受到，就不需要做任何检查；如果ARP包在一个不可信任的接口上接收到，该包就只能在绑定信息被证明合法的情况下才会被转发出去。DAI配置命令CommandDescriptionSwitch(config)#iparpinspectionvlanvlan_id[vlan_id]EnablesDAIonaVLANorrangeofVLAN’s.Switch(config-if)#iparpinspectiontrustEnablesDAIonaninterfaceandsetstheinterfaceasatrusted

3、interface.Switch(config)#iparpinspectionvalidate{[src-mac][dst-mac][ip]}ConfiguresDAItodropARPpacketswhentheIPaddressesareinvalid,orwhentheMACaddressesinthebodyoftheARPpacketsdonotmatchtheaddressesspecifiedintheEthernetheader.DAI配置举例SwitchA#configureterminalEnterconfig

4、urationcommands,oneperline.EndwithCNTL/Z.SwitchA(config)#iparpinspectionvlan10SwitchA(config)#interfacegigabitEthernet1/1SwitchA(config-if)#iparpinspectiontrustSwitchA(config-if)#endSwitchB#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.SwitchB(co

5、nfig)#iparpinspectionvlan10SwitchB(config)#interfacegigabitEthernet1/1SwitchB(config-if)#iparpinspectiontrustSwitchB(config-if)#endDAI配置验证SwitchA#showiparpinspectioninterfacesInterfaceTrustStateRate(pps)BurstInterval--------------------------------------------------Gi1

6、/1TrustedNoneN/AGi1/2Untrusted151Fa2/1Untrusted151Fa2/2Untrusted151SwitchA#showiparpinspectionvlan10SourceMacValidation:DisabledDestinationMacValidation:DisabledIPAddressValidation:DisabledVlanConfigurationOperationACLMatchStaticACL-------------------------------------

7、--------10EnabledActiveVlanACLLoggingDHCPLogging---------------------------10DenyDenySwitchA#showipdhcpsnoopingbindingMacAddressIpAddressLease(sec)TypeVLANInterface------------------------------------------------------------------00:01:00:01:00:0110.10.10.14995dhcp-sno

8、oping10FastEthernet2/1谢谢！