Dynamic ARP Inspection
Le DAI peut également être configuré pour vérifier à la fois les adresses MAC et IP de destination ou de source :
L'inspection ARP dynamique intercepte toutes les demandes ARP et toutes les réponses sur les ports untrust. Chaque paquet intercepté est vérifié. Les réponses ARP provenant de dispositifs non valides sont soit abandonnées, soit enregistrées par le commutateur pour être auditées afin de prévenir les attaques d'empoisonnement ARP.
Etape 1. Mettez en place le DHCP Snooping.
S1(config)# ip dhcp snooping
Etape 2. Activer le DHCP Snooping sur certains VLAN.
S1(config-if)# ip dhcp snooping vlan 10
Etape 3. Activer le DAI sur certains VLAN.
S1(config-if)# ip arp inspection vlan 10
Etape 4. Configurer des interfaces trust pour le DHCP Snooping et le DAI.
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust
Etape 5. Configurer le type d'inspection ARP.
S1(config)# ip arp inspection validate {[src-mac] [dst-mac] [ip]}
| Paramètre | Description |
|---|---|
| MAC de destination | Vérifie l'adresse MAC de destination dans l'en-tête Ethernet par rapport à l'adresse MAC cible dans le corps de l'ARP. |
| MAC source | Vérifie l'adresse MAC source dans l'en-tête Ethernet par rapport à l'adresse MAC de l'expéditeur dans le corps ARP |
| Adresse IP | Vérifie dans le corps ARP les @IP non valides et inattendues, y compris les adresses 0.0.0.0, 255.255.255.255 et les @IP multicast. |
Exemple