IPSG和DAI的区别及配置

今天在网上找了篇关于IPSG和DAI的文章，感觉挺不错的，还是感觉这两个功能差不多，具体的功能差异还得仔细整整。

IPSG即IP源保护，

DAI即动态ARP检测

这2项技术部署的前提是DHCPSnooping

2种技术都是2层技术。区别可以从他们的名字中看出来，分别用于防范不同的攻击类型：

IPSG用于同一个网络中，其他主机盗用自己的IP地址。如果配置了IPSG，那么每个端口只能有一个IP地址，就算你的主机关机了，但是只要别人没有占用你的端口，就不能用你的IP地址。这是一个很好的防止内部网络乱改IP的技术。默认IPSG只以源IP地址为条件过滤IP包，如果加上以源MAC地址为条件过滤的话，必须开启DHCPSNOOPING INFORMAITON OPTION 82功能。

DAI主要是防范中间人攻击的，中间人他并不会抢占别人的IP，而是通过arp欺骗，引导2层数据流从自己这里经过，从而可以截获他人信息。DAI利用snooping表中的端口和MAC项，来过滤非法的ARP应答，保证ARP请求可以得到正确的应答。

这样可以看出，2项技术是针对不同需求的，为了网络更加安全，建议都要配置。呵呵

启用这2项后，可能对交换机的CPU资源有一定影响，我们暂时使用没有太大问题，就是交换机重启时间要慢一些。（读取DHCPSnooping表项会占用时间），若有问题可以考虑将snooping表放到外部服务器上。

ip dhcp snooping database flash:dhcpsnooping.text ，将flash:dhcpsnooping.text 改为你服务器的目录即可，当然前提是要保证网络可达性！

 

相关配置：

----------------------------------------------------------------------------------------------------------------------------

1、启用DHCP SNOOPING

全局命令：
ip dhcp snooping vlan 10,20,30
no ip dhcp snooping information option
ip dhcp snooping database flash:dhcpsnooping.text //将snooping表保存到单独文档中，防止掉电后消失。
ip dhcp snooping

 

接口命令:
ip dhcp snooping trust //将连接DHCP服务器的端口设置为Trust，其余unTrust（默认）

 

2、启用DAI，防止ARP欺骗和中间人攻击！通过手工配置或者DHCP监听snooping，交换机将能够确定正确的端口。如果ARP应答和snooping不匹配，那么它将被丢弃，并且记录违规行为。违规端口将进入err-disabled状态，攻击者也就不能继续对网络进行进一步的破坏了！

 

全局命令
ip arp inspection vlan 30

 

接口命令（交换机之间链路配置DAI信任端口，用户端口则在默认的非信任端口）：
ip arp inspection trust
ip arp inspection limit rate 100

 

3、启用IPSG

前提是启用IP DHCPSNOOPING，能够获得有效的源端口信息。IPSG是一种类似于uRPF（单播反向路径检测）的二层接口特性，uRPF可以检测第三层或路由接口。

接口命令：

switchport mode acc

switchport port-security
ip verify source vlan dhcp-snooping port-security

4、关于几个静态IP的解决办法

可通过ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interfacegi0/8

通过arp access-list添加静态主机:
arp access-list static-arp
permit ip host 192.168.1.1 mac host 0000.0000.0003
ip arp inspection filter static-arp vlan 30

 

DHCP 中绑定固定IP：
ip dhcp pool test
host 192.168.1.18 255.255.255.0 （分给用户的IP）
client-identifier 0101.0bf5.395e.55（用户端mac）
client-name test

 

总结

--------------------------------------------------------------------------------------------------------------------------------

DAI仅检测和处理ARP报文而非所的数据包，如要防止IP源欺骗攻击则还需要通过Source Guard来实现。

DAI的特点
1、在配置DAI技术的接口上，用户端不能采用指定地址地址将接入网络。
2、 由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系，无法实施中间人攻击，攻击工具失效。
3、 由于对ARP请求报文做了速度限制，客户端无法进行认为或者病毒进行的IP扫描、探测等行为，如果发生这些行为，交换机马上报警或直接切断扫描机器。
4、用户获取IP地址后，用户不能修改IP或MAC，如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可，对于这种修改可以使用下面讲到的IP Source Guard技术来防范。

IPSG的特点
1、IP Source Guard 使用 DHCP sooping 绑定表信息。
2、配置在交换机端口上，并对该端口生效。
3、 运作机制类似 DAI，但是 IP Source Guard不仅仅检查ARP报文，所有经过定义IP SourceGuard检查的端口的报文都要检测。
4、IP Source Guard检查 接口 所通过的流量的IP地址和MAC地址是否在DHCPsooping绑定表，如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option82，同时使路由器支持Option 82信息。
5、 可以过滤掉非法的 IP地址，包含用户故意修改的和病毒、攻击等造成的。
6、解决 IP地址冲突问题。
7、 提供了动态的建立IP＋MAC＋PORT的对应表和绑定关系，对于不使用DHCP的服务器和一些特殊情况机器可以采用利用全局命令静态手工添加对应关系到绑定表中。
8、 配置 IP Source Guard的接口初始阻塞所有非DHCP流量。

 

----------------------------------------------------------------------------------------------------------------------------

其它：

 

IP Source Guard是一种基于IP/MAC的端口流量过滤技术，它可以防止局域网内的IP地址欺骗攻击。交换机内部有一个IPsource bindingtable作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据——或者所接收到的IP包满足IP sourcebinding table中port/IP/MAC的对应关系，或者是接收到的是DHCP数据包，其余数据包将被交换机做丢弃处理。IPsource binding table可以由用户在交换机上静态的配置，也可以由交换机从DHCPSnooping自动学习获得。静态配置是一种简单而固定的方式，灵活性很差，因此Cisco建议用户最好结合DHCPSnooping使用IP Source Guard，由DHCP Snooping Binding Database生成IPsource binding table。

 

以DHCP Snooping为前提讲一下IP SourceGuard技术的原理。在这种环境下，连接在交换机上的所有PC都配置自动获取IP，PC作为DHCP Client通过广播发送DHCPRequest，DHCP server将含有IP地址信息的DHCP Reply通过单播的方式发送给DHCPClient，交换机作为连接DHCP Server和DHCP Client的中介，从经过其的DHCP Request和DHCPReply数据包中提取关键信息（包括IP Address，MAC Address, Vlan ID, Port，ReleasedTime等）并把这些信息保存到DHCP Snooping Binding Database中，并由此生成IP sourcebinding table，IOS根据这个表里面的内容把ACL应用到各个对应的端口，由ACL来过滤所有IP流量。PC没有发送DHCPRequest时，PC连接的交换机端口默认时拒绝除了DHCP之外的所有数据的，因此PC使用的静态IP是无法连接网络的。PC发送DHCPRequest之后，交换机对PC连接的端口进行了IP/MAC/Port的绑定，仅仅只有指定的IP能够连接网络，PC将自己的IP伪装成其他主机的。如果DHCPServer设定了MAC/IP的对应关系，那么每个PC的IP也就因此固定了，这是一种比较好的局域网IP地址解决方案。另外，由于IOS会对端口接收到的DHCP数据包进行处理，如果恶意的PC发送大量的DHCP包让交换机处理发动DOS攻击，会造成交换机的资源耗尽，考虑到这一点，IOS默认每个端口每秒钟最多能接收1500个DHCP数据包。

 

 

实施DAI后的效果
在配置DAI技术的接口上，如果没有进行静态绑定，用户端不能采用指定静态地址的方式将接入网络。 
由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系，无法实施中间人攻击，攻击工具失效。
下表为实施中间人攻击是交换机的警告： 
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) onFa5/16, 
vlan1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2 
由于对 ARP请求报文做了速度限制，客户端无法进行认为或者病毒进行的IP扫描、探测等行为，如果发生这些行为，
交换机马上报警或直接切断扫描机器。如下表所示： 
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184milliseconds on Fa5/30. ******报警 
3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30,putting Fa5/ 30 in err-disable state******切断端口 
I49-4500-1#.....sh int f.5/30 
FastEthernet5/30 is down, line protocol is down(err-disabled) 
Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia0002.b90e .3f 4d) 
MTU 1500 bytes, BW 100000 Kbit, DLY 100usec, 
reliability 255/255, txload 1/255, rxload1/255 
I49-4500-1#...... 
用户获取 IP地址后，用户不能修改IP或MAC，如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可，
对于这种修改可以使用下面讲到的 IP SourceGuard技术来防范。下表为手动指定IP的报警： 
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) onFa5/30, 
vlan1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28UTC Fri Dec 29 2000 ])