ARP Spoofing (auch ARP Poisoning) ist ein klassischer Layer-2-Angriff: Ein Angreifer sendet gefälschte ARP-Antworten, um sich als Gateway oder als anderes Gerät auszugeben. Dadurch kann Traffic umgeleitet, mitgeschnitten oder komplett gestört werden. Dynamic ARP Inspection (DAI) ist die Cisco-Gegenmaßnahme: Der Switch prüft ARP-Pakete gegen eine vertrauenswürdige Zuordnung von IP↔MAC↔VLAN↔Port (meist aus DHCP Snooping) und verwirft ungültige ARP-Frames. In Kombination mit DHCP Snooping und IP Source Guard ist DAI ein zentraler Baustein für sichere Campus-Access-Netze.
Wie ARP Spoofing funktioniert (kurz, praxisnah)
ARP ist in IPv4-Netzen zustandslos und vertraut standardmäßig jeder ARP-Antwort. Ein Angreifer kann daher behaupten: „Die Gateway-IP gehört zu meiner MAC“. Clients übernehmen das in ihren ARP-Caches – Traffic läuft über den Angreifer (Man-in-the-Middle) oder bricht ab (DoS).
- Gefälschte ARP Replies manipulieren ARP-Cache von Clients
- MITM: Angreifer leitet Traffic weiter und kann ihn analysieren
- DoS: Angreifer „schluckt“ Traffic oder erzeugt ARP-Chaos
Warum DAI am Access so effektiv ist
Angriffe entstehen meist am Rand: ein kompromittierter Client, ein fremdes Notebook oder ein Rogue-Device. DAI stoppt gefälschte ARP-Pakete direkt am Switchport, bevor sie im VLAN Schaden anrichten.
Voraussetzungen: DHCP Snooping Binding als Vertrauensbasis
DAI braucht eine Quelle, um „korrekt“ von „gefälscht“ zu unterscheiden. In den meisten Designs nutzt DAI die DHCP Snooping Binding Table. Deshalb ist DHCP Snooping praktisch Voraussetzung für DAI in dynamischen Client-VLANs.
- DHCP Snooping aktiv und korrekt (trusted Uplinks)
- Bindings vorhanden: MAC–IP–VLAN–Port
- Statische Geräte (Server/Printer mit statischer IP) benötigen ggf. ARP ACLs
Bindings prüfen (vor DAI Rollout)
show ip dhcp snooping
show ip dhcp snooping binding
Konzept: Trusted vs. Untrusted Ports bei DAI
Wie bei DHCP Snooping arbeitet DAI mit trusted/untrusted Ports. Auf untrusted Ports werden ARP-Pakete geprüft und bei Abweichungen gedroppt. Uplinks/Trunks Richtung Distribution/Gateway sind typischerweise trusted.
- Untrusted (Default): Endgeräte-Ports, IoT, Printer, Phones
- Trusted: Uplinks/Trunks Richtung L3/Gateway und Infrastruktur
- Rate-Limits: schützen gegen ARP-Flooding und Fehlkonfigurationen
Schritt 1: DHCP Snooping sauber aktivieren (Basis für DAI)
Wenn DHCP Snooping noch nicht aktiv ist, setze es zuerst auf den relevanten VLANs. Ohne Bindings wird DAI in dynamischen Netzen schnell zum „Self-DoS“.
enable
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10,20
ip dhcp snooping database flash:dhcp_snoop.db
end
Uplink als DHCP Snooping trusted (Beispiel)
configure terminal
interface gigabitEthernet 1/0/48
description UPLINK-TO-DIST
ip dhcp snooping trust
end
Schritt 2: DAI für VLANs aktivieren
Aktiviere DAI gezielt pro VLAN. Beginne in einem Pilot-VLAN, prüfe Drops/Logs und rolle dann aus.
configure terminal
ip arp inspection vlan 10,20
end
DAI Status prüfen
show ip arp inspection
Schritt 3: Trusted Ports für DAI setzen (Uplinks/Trunks)
Uplinks Richtung Distribution/Gateway sollten in der Regel trusted sein, damit ARP-Traffic aus dem Upstream nicht unnötig geprüft/gebremst wird. Trusted setzt du nur dort, wo du Infrastruktur erwartest.
configure terminal
interface gigabitEthernet 1/0/48
description UPLINK-TRUNK
ip arp inspection trust
end
Wichtige Regel: Nicht „zu viel“ trusten
Wenn du zu viele Ports trusted setzt, verlierst du Schutzwirkung. Trusted gehört nicht auf Client-Ports.
Schritt 4: ARP Rate-Limits auf untrusted Ports setzen
ARP-Flooding kann Switches belasten und zu False Positives führen. Setze daher Rate-Limits auf untrusted Ports. Das ist besonders bei IoT-Segmenten sinnvoll.
Rate-Limit per Interface (Beispiel)
configure terminal
interface range gigabitEthernet 1/0/1 - 24
description EDGE-CLIENTS
ip arp inspection limit rate 15
end
Dimensionierung in der Praxis
Wähle einen Wert, der normale ARP-Last abdeckt (DHCP-Phase, Wake-on-LAN, Boot-Stürme), aber Flooding deutlich einschränkt. In typischen Office-Ports sind niedrige zweistellige Werte oft praktikabel.
Statische IPs und DAI: ARP ACLs für Ausnahmen
Wenn Geräte mit statischer IP im VLAN hängen, existieren keine DHCP Snooping Bindings. Dann kann DAI deren ARP-Pakete droppen. Die saubere Lösung sind ARP Access Lists (ARP ACLs) für solche Geräte oder eine bewusste IP-Strategie (statisch nur in dafür vorgesehenen VLANs).
ARP ACL Beispiel (statischer Server/Printer im VLAN 50)
configure terminal
arp access-list ARP-STATIC-VLAN50
permit ip host 10.1.50.10 mac host 0011.2233.4455
permit ip host 10.1.50.11 mac host 0066.7788.99aa
exit
ip arp inspection vlan 50
ip arp inspection filter ARP-STATIC-VLAN50 vlan 50
end
Hinweis zur Pflege
ARP ACLs sind wartungsintensiv. Nutze sie gezielt und dokumentiere sie sauber, sonst entsteht „Ausnahme-Sprawl“.
Verifikation: Nachweis, dass DAI arbeitet
Nach dem Rollout prüfst du, ob DAI aktiv ist, ob Drops auftreten und ob die DHCP Snooping Bindings aufgebaut werden. Logs geben oft schnell Hinweise auf Fehlkonfigurationen.
show ip arp inspection
show ip arp inspection vlan 10
show ip dhcp snooping binding
show logging | include ARP|INSPECTION|DAI|DHCP_SNOOPING
Typische Fehlerbilder
- Clients verlieren Netzwerk: DHCP Snooping Bindings fehlen oder falscher Trust-Port
- Nur bestimmte Geräte betroffen: statische IP ohne ARP ACL
- Viele Drops: Rate-Limit zu niedrig oder ARP-Flood/Loop
- Uplink nicht trusted: ARP aus Upstream wird blockiert
Troubleshooting-Playbook: Wenn DAI „zu viel“ blockiert
Arbeite strukturiert: Prüfe erst Snooping-Bindings, dann Trust-Ports, dann Rate-Limits, dann Ausnahmen (ARP ACLs). Deaktiviere DAI nicht pauschal, sondern korrigiere die Ursache.
show ip arp inspection
show ip arp inspection vlan 10
show ip dhcp snooping
show ip dhcp snooping binding
show interfaces trunk
show logging | include ARP|INSPECTION|DAI|DROP|SNOOP
Best Practices: DAI als Teil eines Access-Security-Bundles
DAI ist am stärksten im Paket mit DHCP Snooping und optional IP Source Guard. Damit verhinderst du nicht nur Rogue DHCP und ARP Spoofing, sondern reduzierst auch die Möglichkeit, fremde IPs/MACs zu verwenden.
- DHCP Snooping zuerst sauber ausrollen (Trusted Uplinks, Binding DB)
- DAI pro VLAN aktivieren, Rollout stufenweise (Pilot → Fläche)
- Trusted nur für Uplinks/Infra, Rate-Limits auf Edge
- Statische IPs vermeiden oder über ARP ACLs sauber abbilden
- Monitoring: Drops, Logs, ungewöhnliche ARP-Raten
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
