今天的CCNA课程和上一节课 DHCP Snooping类似,并且有一定的交互,主要是DARP,也就是Dynamic ARP inspection。

Dynamic ARP inspection也是交换机的安全特性,用于过滤ARP信息。

首先我们回忆一下ARP干啥的,ARP就是address resolution protocol,通过已知的IP地址来获取MAC地址一个协议。比如某个主机不知道网关的MAC地址,那么它就会发送一个ARP request信息,其中destination MAC地址为全F,即广播地址,然后发送给所有的设备,网关收到后会返回去一个ARP reply,这样该设备就知道了对方的MAC地址。

另外一种ARP信息叫做 gratuitous ARP,这是一种不需要ARP request的ARP reply,该信息都是发送给广播地址。一般是用来告诉其他设备自己的MAC地址。当接口enabled,IP地址变更或者MAC地址变更很多设备都会自动发送给信息。

那么这就有一个问题,这会造成一个安全隐患。类似于DHCP posioning,黑客可以使用ARP posioning的方法来伪造自己的IP地址让其他设备错误的升级使用假的MAC地址,然后其他设备发送出的信息就会被先发送到黑客这里。如下图所示,

PC2就发送 gratuitous ARP 并且将ARP包IP地址改成网关R1的地址,然后发送给所有。那么除了R1以外,其他设备收到该信息都会更新自己的ARP表,以为PC2才是真正的网关。接下来发送出的数据包都是先送到PC2,这样PC2就可以截获甚至串改信息。

那么就回到今天我们的主要内容,Dynamic ARP inspection,和DHCP Snooping类似,该功能也是将端口设置为trusted和untrusted,然后对untrusted 的 ARP 包进行检测和过滤。其他信息不受到影响。同样地,端口和DHCP Snooping也是类似但是有一点不同,接到终端的端口都设置为untrusted,而接到其他网络设备比如路由器交换机的都设置为trusted port。这里并不是分上行和下行端口。如下图所示。

蓝色为trusted port,橙色为untrusted port

DAI (Dynamic ARP inspection)默认是检测 从untrusted端口来的ARP 包中的 sender MAC和send IP,然后对照DHCP Snooping binding table是否匹配,如果匹配那么就通过,如果不匹配那么就丢弃掉。而从trusted port来的 ARP包则正常转发。

这里有一个特殊情况,假如某一个设备没有使用DHCP而是手动配置了IP地址,那么DHCP Snooping binding table就不会有该设备的信息,那么这时候就需要给DAI手动配置 ARP ACLs,手动添加IP地址和MAC地址让DAI来检测。

和DHCP Snooping类似,DAI也可以配置速率,因为所有的信息处理都依赖交换机的CPU,尽管ARP和DHCP Snooping都可以把黑客发出的包丢弃掉,但是如果不设置限制速率的话,处理大量的包需要耗费很多CPU资源甚至会崩溃。

接下来就是实际配置,还是进入到config 模式

首先是打开该功能,这里比DHCP Snooping 少一条

ip arp inspection vlan 1

接下来进入到端口

int g0/0

将该端口设置为trusted

ip arp inspection trust

通过下面的命令可以查看端口状态

show ip arp inspection interfaces

端口的限制速率也有点不同,DHCP Snooping 在默认所有端口都关闭,而DAI是默认在trusted port关闭,在untrusted端口是默认打开并且是15 packets per second(DHCP Snooping 是10).另外更改的时候,DHCP Snooping 只能改包的数量,即每秒多少个包,而DAI可以更改多少秒多少个包。

命令如下,依然是config模式并且打开了DAI,

还是进入端口,然后设置速率和时间,当然不设置时间也可以

int g0/1

ip arp inspection limit rate 25 burst interval 2

int g0/2

ip arp inspection limi rate 10

下面的命令可以查看端口的速率配置

show ip arp inspection interfaces

和DHCP Snooping一样,一旦该端口速率超过了设置的值那么就会关闭,回复关闭可以通过shutdown和 no shutdown 即重启打开,或者使用命令

errdisable recovery cause arp-inspection

之前我们说过默认情况下,DAI只检测sender的IP和MAC地址,但是我们可以手动添加配置,让其检查更多的选项,

ip arp inspection validate ip

这里注意一下,添加配置有两种办法,可以造成不同的效果。第一种是一条一条的打,那么后面的一条会覆盖前面的,如下图所示

而另外一种就是一条命令输入所有,如下图所示,这样所有配置都会添加

最后我们说一下之前提到过,假如设备是手动配置IP而不是DHCP,那么在DHCP Snooping binding table里就没有该主机信息,那么自然过不去DAI,所以需要手动配置 ARP ACLs。

还是进入到config 模式

首先设置一个arp

arp access-list ARP-ACL-1

然后设置参数

permit ip host 192.168.1.100 mac host 0c29.2f1e.7700

还得将其应用在 DAI

ip arp inspection filter ARP-ACL-1 vlan 1

最后这个命令可以查看当前的情况。

show ip arp inspection

YouTube player
YouTube player

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

——————————————————-分隔符——————————————————————-

Day 51 Anki Flashcard下载:https://drive.google.com/file/d/1GfVvtZ-eO62WOuAP4RQBrgwNivHGqTkl/view?usp=sharing

Day 51 Cisco Packet Tracer 练习题下载:https://drive.google.com/file/d/1mF8ybx8avTgcfSRcHrkpgSW_o7i80Uhs/view?usp=sharing

Day 51 Cisco Packet Tracer 练习题完成下载:https://drive.google.com/file/d/1-E_hx3BjhSsr-cGqUKyj9IbojZOZcPQR/view?usp=sharing


Chao

一个三天打鱼两天晒网的博主 拖延症严重患者 干啥啥不行,学啥啥不会

0 条评论

发表回复

Avatar placeholder