Sơ đồ:

Mô tả:

+ Ngăn chặn tấn công ARP (man-in-the-middle)

+ DAI hoạt động như DHCP Snoooping, tất cả các cổng sẽ phân loại thành tin cậy & không tin cậy.

+ Switch sẽ phân tích tính hợp lệ của gói ARP Request & ARP Reply dựa trên bảng Database của DHCP Snooping.

Cấu hình:

- Cấu hình DHCP Snooping trước

- Xác định VLAN dùng DAI

SW(config)# ip arp inspection vlan 1

- Xác định cổng trust

SW(config)# interface f0/1

SW(config-if)# ip arp inspection trust

- Nếu PC được cấu hình IP tĩnh thì:

SW(config)# arp access-list ARPINSPECT

SW(config-arp-nacl)# permit ip host 192.168.1.3 mac host 001B.FC06.ECE4

- Thực hiện filter cho vlan 1

SW(config)# ip arp inspection filter ARPINSPECT vlan 1

SW# show ip arp inspection

- Mặc định thì DAI chỉ kiểm tra sự vi phạm của gói ARP. Nên cần kiểm tra thêm header của gói ARP

SW(config)# ip arp inspection validation ?

+ Src-MAC: Kiểm tra MAC nguồn trong Header Ethernet với MAC của người gửi trong gói ARP Reply

+ Det-MAC: Kiểm tra MAC đích trong Header Ethernet với MAC đích của người gửi trong gói ARP Reply

+ IP: Kiểm tra IP của người gửi trong tất cả các gói ARP Request. IP của thiết bị gửi với IP đích trong tất cả các gói ARP Reply.

By: dangocuong@gmail.com