Dynamic ARP Inspection (DAI)¶

Dynamic ARP Inspection (DAI) - функция безопасности на коммутаторах, которая защищает от подмены ARP (ARP Spoofing). Она проверяет корректность ARP пакетов в сети, прежде чем они будут обработаны.

Для настройки порты коммутатора делятся на два вида:

Trusted - доверенные порты, которые ведут к другим коммутаторам, серверам и т.д. (ARP пакеты не проверяются);
Untrusted - недоверенные порты, к которым подключены пользователи.

Необходимые условия и предварительные требования¶

Настроенный DHCP-сервер;
Настроенный DHCP Snooping для формирования таблицы привязок.

Назначение применяемой команды/конфигурации¶

Команды в режиме глобальной конфигурации¶

ip arp inspection entry interface { GigabitEthernet | 25GigabitEthernet }
ip arp inspection translate interface { GigabitEthernet | 25GigabitEthernet }
ip arp inspection vlan <1-4094> logging { all | deny | permit }

no ip arp inspection entry interface {GigabitEthernet | 25GigabitEthernet}
no ip arp inspection vlan <1-4094> logging

Команды в режиме настройки интерфейса¶

ip arp inspection check-vlan
ip arp inspection logging { all | deny | permit }
ip arp inspection trust

no ip arp inspection check-vlan
no ip arp inspection logging
no ip arp inspection trust

Команды отображения информации¶

show ip arp inspection
show ip arp inspection entry [dhcp-snooping [interface]]
show ip arp inspection entry [interface { * | GigabitEthernet | 25GigabitEthernet }]
show ip arp inspection entry [static [interface]]
show ip arp inspection [interface { * | GigabitEthernet | 25GigabitEthernet }]
show ip arp inspection vlan <vlan_list>

Пример конфигурирования¶

Схема подключения¶

Настройка¶

Шаг 1. Включение DAI глобально

1 2	`# configure terminal (config)# ip arp inspection`

Шаг 2. Настройка интерфейса GigabitEthernet 1/21-22 для подключения пользователей

(config)# interface GigabitEthernet 1/21-22
(config-if)# description TO-DHCP-CLIENT
(config-if)# switchport access vlan 2501
(config-if)# no spanning-tree
(config-if)# spanning-tree edge

Шаг 3. Настройка порта как untrusted для DHCP Snooping и DAI, включение логирования

1
2
3

(config-if)# no ip dhcp snooping trust
(config-if)# no ip arp inspection trust
(config-if)# ip arp inspection logging all

Шаг 4. Настройка порта для подключения DHCP сервера

1
2
3

(config)# interface GigabitEthernet 1/23
(config-if)# description TO-DHCP-SERVER
(config-if)# switchport access vlan 2501

Полный вывод выполненных конфигураций¶

configure terminal
!
ip arp inspection
!
interface GigabitEthernet 1/21
 description TO-DHCP-CLIENT
 switchport access vlan 2501
 no spanning-tree
 spanning-tree edge
 no ip dhcp snooping trust
 no ip arp inspection trust
 ip arp inspection logging all
!
interface GigabitEthernet 1/22
 description TO-DHCP-CLIENT
 switchport access vlan 2501
 no spanning-tree
 spanning-tree edge
 no ip dhcp snooping trust
 no ip arp inspection trust
 ip arp inspection logging all
!
interface GigabitEthernet 1/23
 description TO-DHCP-SERVER
 switchport access vlan 2501
 ip dhcp snooping trust

Изучение состояния устройства¶

Просмотр конфигурации¶

# show ip arp inspection interface GigabitEthernet 1/21-23

Port                        Port Mode   Check VLAN  Log Type
----                        ---------   ----------  --------
GigabitEthernet 1/21        enabled     disabled    ALL
GigabitEthernet 1/22        enabled     disabled    ALL
GigabitEthernet 1/23        disabled    disabled    NONE


# show ip arp inspection entry

Type      Port                      VLAN  MAC Address        IP Address
----      ----                      ----  -----------        ----------
Dynamic   GigabitEthernet 1/21      2501  00-07-32-78-47-fa  10.50.101.104
Dynamic   GigabitEthernet 1/22      2501  a0-36-9f-f2-6d-d5  10.50.101.106


# show ip dhcp snooping table
Entry ID            : 1
MAC Address         : 00-07-32-78-47-fa
VLAN ID             : 2501
Source Port         : GigabitEthernet 1/21
IP Address          : 10.50.101.104
IP Subnet Mask      : 255.255.255.0
DHCP Server Address : 10.50.101.10 (Remote)

Entry ID            : 2
MAC Address         : a0-36-9f-f2-6d-d5
VLAN ID             : 2501
Source Port         : GigabitEthernet 1/22
IP Address          : 10.50.101.106
IP Subnet Mask      : 255.255.255.0
DHCP Server Address : 10.50.101.10 (Remote)

Total Entries Number : 2

Логи при попытке подмены MAC хоста¶

459  Notice         2025-11-27T12:21:03+00:00 ARP_INSPECTION-ACCESS_DENIED: ARP packet is denied on Interface GigabitEthernet 1/22, vlan 2501, mac a0-36-9f-f2-6d-d5, sip 10.50.101.10.

460  Notice         2025-11-27T12:21:04+00:00 ARP_INSPECTION-ACCESS_DENIED: ARP packet is denied on Interface GigabitEthernet 1/22, vlan 2501, mac a0-36-9f-f2-6d-d5, sip 10.50.101.10.

461  Notice         2025-11-27T12:21:05+00:00 ARP_INSPECTION-ACCESS_DENIED: ARP packet is denied on Interface GigabitEthernet 1/22, vlan 2501, mac a0-36-9f-f2-6d-d5, sip 10.50.101.10.

462  Notice         2025-11-27T12:21:06+00:00 ARP_INSPECTION-ACCESS_DENIED: ARP packet is denied on Interface GigabitEthernet 1/22, vlan 2501, mac a0-36-9f-f2-6d-d5, sip 10.50.101.10.

463  Notice         2025-11-27T12:21:07+00:00 ARP_INSPECTION-ACCESS_DENIED: ARP packet is denied on Interface GigabitEthernet 1/22, vlan 2501, mac a0-36-9f-f2-6d-d5, sip 10.50.101.10.