February 23, 2026

Dynamic ARP Inspection (DAI): Cisco Sicherheit im Switch

In modernen Campus-Netzwerken ist die größte Sicherheitslücke häufig nicht ein exotischer Zero-Day, sondern ein unscheinbares Layer-2-Problem: ARP-Spoofing. Ein einzelnes Endgerät im gleichen VLAN kann mit gefälschten ARP-Antworten den Datenverkehr anderer Clients auf sich umleiten, Sessions stören oder vertrauliche Daten abgreifen. Genau hier setzt Dynamic ARP Inspection (DAI) an. DAI ist eine Sicherheitsfunktion auf Cisco Switches, die ARP-Pakete (Address Resolution Protocol) prüft und nur solche ARP-Nachrichten zulässt, die zu einer vertrauenswürdigen Zuordnung passen. In der Praxis bedeutet das: Der Switch validiert, ob die behauptete IP↔MAC-Beziehung tatsächlich korrekt ist, bevor er ARP-Antworten im VLAN weiterleitet. Damit wird ARP-Spoofing – und damit ein zentraler Baustein für Man-in-the-Middle-Angriffe im LAN – effektiv blockiert. DAI ist besonders stark, wenn es zusammen mit DHCP Snooping eingesetzt wird, denn DHCP Snooping liefert die sogenannte Binding Table (IP/MAC/VLAN/Port), gegen die DAI ARP-Informationen verifizieren kann. Dieser Artikel erklärt, wie DAI funktioniert, wie Sie es auf Cisco Switches sauber konfigurieren, welche Best Practices sich bewährt haben und wie Sie typische Fehler beim Rollout vermeiden, ohne den Betrieb zu stören.

Warum ARP-Sicherheit überhaupt relevant ist

ARP ist das Protokoll, mit dem Geräte im lokalen Netzwerk (Layer 2) die MAC-Adresse zu einer IP-Adresse ermitteln. Ein Client, der zum Default Gateway senden will, fragt typischerweise: „Wer hat IP 192.168.10.1?“. Der Router (oder Layer-3-Switch) antwortet mit seiner MAC-Adresse, und der Client speichert diese Zuordnung im ARP-Cache. Das Problem: ARP ist historisch nicht authentifiziert. Jeder Host kann ARP-Antworten senden, auch ohne gefragt worden zu sein (Gratuitous ARP). Ein Angreifer kann so eine falsche Zuordnung verteilen – zum Beispiel „192.168.10.1 ist meine MAC-Adresse“ – und damit Verkehr umleiten oder unterbrechen.

  • Man-in-the-Middle: Traffic läuft über ein fremdes Gerät, das mitschneidet oder manipuliert.
  • Denial-of-Service: Falsche ARP-Einträge sorgen dafür, dass Clients das Gateway nicht mehr erreichen.
  • Session-Hijacking: Bei unverschlüsselten Protokollen können Sessions übernommen werden.
  • Umgehung von Segmentierung: In flachen VLANs kann ARP-Spoofing besonders effektiv sein.

Für technischen Hintergrund zum ARP-Protokoll eignet sich der Anchor-Text RFC 826 (ARP).

Was ist Dynamic ARP Inspection (DAI) auf Cisco Switches?

Dynamic ARP Inspection ist eine Layer-2-Sicherheitsfunktion, die ARP-Pakete in einem VLAN kontrolliert. Der Switch betrachtet ARP als „prüfpflichtig“ und entscheidet pro ARP-Paket, ob es weitergeleitet oder gedroppt wird. Die Prüfung basiert auf einer vertrauenswürdigen Datenquelle:

  • DHCP Snooping Binding Table: dynamische Zuordnung von IP↔MAC↔VLAN↔Port, gelernt über DHCP.
  • Statische ARP-ACLs: für Geräte mit statischer IP (ohne DHCP) oder Sonderfälle.

In der Praxis funktioniert DAI so: Ein ARP-Paket behauptet, dass eine IP-Adresse zu einer bestimmten MAC-Adresse gehört. DAI prüft diese Behauptung gegen die Binding Table oder gegen erlaubte statische Regeln. Passt es nicht, wird das ARP-Paket verworfen, und der Angriff läuft ins Leere.

Eine Cisco-nahe Übersicht finden Sie über den Anchor-Text Cisco Dynamic ARP Inspection (DAI) Überblick.

DAI und DHCP Snooping: Warum diese Kombination so wichtig ist

DAI ist am stärksten, wenn DHCP Snooping aktiv ist. DHCP Snooping verhindert Rogue DHCP und baut gleichzeitig eine Binding Table auf. Diese Binding Table ist für DAI so wertvoll, weil sie eine verlässliche Zuordnung liefert: Welcher Client (MAC) hat welche IP in welchem VLAN an welchem Port bekommen? Ohne diese Daten müsste DAI ausschließlich mit statischen Regeln arbeiten, was in großen Umgebungen kaum skalierbar ist.

  • DHCP Snooping: lernt „IP/MAC/Port/VLAN“ aus DHCPACKs.
  • DAI: prüft ARP-Claims gegen diese Tabelle.
  • Mehrwert: Angriffe im Access-Layer werden blockiert, ohne dass Sie jeden Client statisch pflegen müssen.

Best Practice: DHCP Snooping zuerst sauber einführen, dann DAI aktivieren. Sonst fehlen Bindings, und DAI kann legitimen Traffic blockieren.

Trusted vs. Untrusted Ports: DAI richtig denken

Wie bei DHCP Snooping arbeitet DAI mit dem Konzept „trusted“ und „untrusted“. Standardmäßig sind Ports untrusted. Auf untrusted Ports prüft DAI ARP-Pakete streng. Trusted Ports werden von der Prüfung ausgenommen oder weniger streng behandelt (plattformabhängig). Typischerweise sind trusted:

  • Uplinks zur Distribution/Core (Trunks, Port-Channels)
  • Ports zu legitimen Servern oder Appliances, die ARP in größerem Umfang erzeugen und/oder statische IPs nutzen (je nach Design)
  • Ports, über die DHCP Snooping/Relay-Informationen zuverlässig laufen

Access-Ports zu Clients bleiben untrusted. Genau dort soll DAI wirken, denn die größte Gefahr für ARP-Spoofing kommt aus dem Endgerätebereich.

Voraussetzungen vor der Konfiguration

DAI ist wirksam, aber ein sensibles Feature: Wenn Bindings fehlen oder Trust falsch gesetzt ist, können Clients plötzlich ihr Gateway nicht mehr erreichen. Bevor Sie DAI aktivieren, prüfen Sie diese Punkte:

  • DHCP Snooping ist aktiv und korrekt für die relevanten VLANs konfiguriert.
  • Uplinks/Port-Channels sind für DHCP Snooping trusted, damit Bindings entstehen.
  • Es gibt eine Strategie für Geräte mit statischer IP (z. B. Drucker, Infrastruktur, Server).
  • Das VLAN-Design ist klar: In welchen VLANs sollen Clients geschützt werden?
  • Sie planen einen stufenweisen Rollout (Pilot-VLAN, dann Ausweitung).

Für Cisco DHCP Snooping als Grundlage eignet sich der Anchor-Text Cisco DHCP Snooping Überblick.

Schritt-für-Schritt: Dynamic ARP Inspection aktivieren

Die Befehle können je nach Catalyst-Generation und IOS/IOS XE-Version leicht variieren. Das Grundmuster ist jedoch sehr ähnlich: DAI wird VLAN-basiert aktiviert, anschließend werden trust-Ports gesetzt und optional Prüfoptionen und Limits konfiguriert.

Schritt 1: DAI für VLANs aktivieren

Beispiel: DAI für VLAN 10 und VLAN 20 (typische Client-VLANs):

configure terminal
ip arp inspection vlan 10,20
end

Schritt 2: Uplink/Port-Channel als trusted setzen

Beispiel: Uplink ist Gi1/0/48:

configure terminal
interface gigabitethernet1/0/48
description Uplink zur Distribution
ip arp inspection trust
end

In EtherChannel-Umgebungen ist es häufig sinnvoll, den Trust am Port-Channel zu setzen (und konsistent zu dokumentieren), damit Member-Ports nicht auseinanderlaufen.

Schritt 3: Prüfoptionen aktivieren (optional, aber empfehlenswert)

DAI kann zusätzliche Plausibilitätschecks durchführen, z. B. ob im ARP-Paket MAC-Adressen oder IPs konsistent sind. Diese Checks erhöhen die Sicherheit, können aber in exotischen Umgebungen zu False Positives führen, wenn Frames ungewöhnlich sind. Ein verbreitetes Muster ist:

configure terminal
ip arp inspection validate src-mac dst-mac ip
end

Wenn Sie diese Checks aktivieren, testen Sie im Pilot-VLAN besonders sorgfältig, ob alle Endgeräte korrekt funktionieren.

Rate Limiting: ARP-Floods kontrollieren

DAI bietet in vielen Cisco-Implementierungen die Möglichkeit, ARP-Traffic auf untrusted Ports zu begrenzen. Das schützt vor ARP-Floods, die die CPU oder die Control Plane belasten können. Ein konservatives Rate-Limit ist in Access-Netzen häufig sinnvoll.

Beispiel: ARP Rate Limit auf einem Access-Port

configure terminal
interface gigabitethernet1/0/10
description Client-Port
ip arp inspection limit rate 15
end

Wichtig: Ports mit vielen Clients (z. B. Access Points, Virtualisierungs-Hosts, Sonderverkabelung) benötigen ggf. ein höheres Limit oder ein angepasstes Design, weil dort legitimer ARP-Traffic häufiger auftreten kann.

Statische IPs und DAI: Der häufigste Stolperstein

DAI „vertraut“ in der Standardlogik auf DHCP Snooping Bindings. Geräte mit statischer IP erscheinen dort nicht automatisch. Das kann dazu führen, dass ARP-Updates von statisch konfigurierten Geräten verworfen werden – und genau dann wirkt DAI wie ein Netzwerkausfall. Deshalb brauchen Sie für statische IPs eine Strategie.

  • Strategie A: Statische IPs vermeiden, wo möglich; statt dessen DHCP-Reservierungen nutzen.
  • Strategie B: Für statische Geräte ARP-ACLs definieren, die erlaubte IP/MAC-Kombinationen festlegen.
  • Strategie C: In begründeten Ausnahmefällen Ports trusted setzen (sparsam, dokumentiert).

DHCP-Reservierung als praxisnaher Standard

Wenn ein Drucker oder ein Access Point eine „feste“ IP braucht, ist eine DHCP-Reservation oft die wartbarste Lösung. Der Client erhält die IP weiterhin per DHCP, wodurch Snooping Bindings entstehen, die DAI nutzen kann. Das reduziert statische Sonderfälle erheblich.

ARP-ACLs für statische Geräte

Wenn DHCP nicht möglich ist, kann eine ARP-ACL helfen. Grundidee: Sie erlauben eine IP/MAC-Kombination für ein VLAN. Die konkrete Syntax ist plattformabhängig; entscheidend ist das Prinzip: Nur bekannte Kombinationen dürfen ARP-Claims setzen. Prüfen Sie dafür die spezifischen Konfigurationsbeispiele Ihrer Switch-Serie, z. B. über den Anchor-Text Cisco DAI Konfigurationshinweise.

Verifikation: So prüfen Sie, ob DAI korrekt arbeitet

Nach der Aktivierung ist Verifikation Pflicht. Ziel ist, dass legitime Clients weiterhin funktionieren, Rogue ARP blockiert wird und Sie die relevanten Tabellen und Counters nachvollziehen können.

  • show ip arp inspection vlan 10 (Status und Statistik pro VLAN, plattformabhängig)
  • show ip arp inspection interfaces (Trust/Rate-Limits pro Port, falls unterstützt)
  • show ip dhcp snooping binding (Binding Table als Grundlage)
  • show logging (Drops, Violations, Hinweise)

Ein plausibler Zustand ist: DAI ist für die gewünschten VLANs aktiv, Uplinks sind trusted, Access-Ports untrusted, Bindings sind vorhanden, und es gibt keine unerwarteten Drops bei normalen Clients.

Troubleshooting: Wenn nach dem Rollout „nichts mehr geht“

DAI ist effektiv, aber Fehlkonfigurationen führen schnell zu auffälligen Symptomen. Wichtig ist, strukturiert vorzugehen und zuerst die klassischen Fehler zu prüfen.

Clients bekommen IP, aber erreichen das Gateway nicht

  • Bindings fehlen: DHCP Snooping nicht aktiv oder nicht für das VLAN konfiguriert.
  • Uplink nicht trusted (Snooping): DHCPACKs werden blockiert, Bindings entstehen nicht korrekt.
  • Statische IPs: Geräte ohne DHCP werden geblockt, weil sie nicht in der Binding Table stehen.

Prüfen:

  • show ip dhcp snooping
  • show ip dhcp snooping binding
  • show logging

Nur einige Geräte funktionieren, andere nicht

  • Rate-Limit zu niedrig: ARP-Pakete werden gedroppt, besonders an Ports mit vielen Endpunkten.
  • Sondergeräte: IP-Telefone, virtuelle Switches, Hypervisor-Umgebungen erzeugen mehr ARP als erwartet.
  • Mixed Static/DHCP: VLAN enthält viele statische IPs, DAI blockiert deren ARP.

Fix: Rate-Limits und Portrollen prüfen, statische IPs reduzieren (Reservierungen), Sonderports gezielt behandeln.

DAI blockiert scheinbar „harmlose“ ARP-Pakete

  • Validations zu strikt: Zusätzliche Checks (src-mac/dst-mac/ip) können in seltenen Umgebungen zu False Positives führen.
  • Ungewöhnliche ARP-Implementierung: Spezialgeräte oder Embedded Systems verhalten sich nicht standardkonform.

Fix: Pilotweise testen, Logging auswerten, ggf. Validations anpassen. In produktiven Netzen sollten Sie Abweichungen dokumentieren und die Ausnahme gezielt begrenzen.

Best Practices: DAI professionell einführen

  • Stufenweiser Rollout: erst ein Pilot-VLAN, danach Ausweitung auf weitere VLANs.
  • DHCP Snooping als Grundlage: DAI ohne zuverlässige Binding Table ist unnötig riskant.
  • Trust nur dort, wo nötig: Uplinks/Port-Channels trusted, Access-Ports untrusted.
  • Statische IPs minimieren: DHCP-Reservierungen statt manueller IPs, wo möglich.
  • Rate Limits einsetzen: Schutz vor Flooding und Fehlverhalten.
  • Dokumentation: VLAN-Liste, trusted Ports, Sonderfälle (APs, Server, VoIP) festhalten.
  • Monitoring: Drops, Violations und ungewöhnliche ARP-Raten überwachen.

Als herstellerneutrale Orientierung für Sicherheitsgrundlagen und Access-Layer-Härtung eignet sich der Anchor-Text CIS Controls.

DAI als Teil einer Access-Layer-Sicherheitskette

DAI entfaltet seinen größten Nutzen in Kombination mit weiteren Mechanismen, die gemeinsam typische Layer-2-Angriffe abwehren:

  • DHCP Snooping: verhindert Rogue DHCP und liefert Bindings.
  • Dynamic ARP Inspection: verhindert ARP-Spoofing und falsche ARP-Claims.
  • IP Source Guard: bindet IP-Traffic an gültige IP/MAC/Port-Zuordnungen.
  • Port-Security: begrenzt MAC-Adressen pro Port, reduziert „MAC-Flooding“.

Wichtig ist, diese Funktionen nicht „blind“ zu aktivieren, sondern als abgestimmtes Paket zu planen und mit einem klaren Rollout-Prozess einzuführen.

Praxis-Checkliste: Vor dem Go-Live

  • DHCP Snooping ist aktiv und baut Bindings in den Ziel-VLANs zuverlässig auf.
  • DAI ist nur auf Client-VLANs aktiviert (Start klein, dann ausrollen).
  • Uplinks/Port-Channels sind trusted, Access-Ports bleiben untrusted.
  • Strategie für statische IPs ist definiert (Reservierungen oder ARP-ACLs).
  • Rate-Limits sind gesetzt und an Sonderports getestet (APs, Hypervisor, VoIP).
  • Monitoring/Logging ist vorbereitet, damit Drops schnell sichtbar sind.
  • Rollback-Plan existiert (für Pilot-VLAN, falls unerwartete Blockings auftreten).

Konfiguration speichern und Betrieb absichern

Wenn DAI in den gewünschten VLANs stabil läuft und Sie Bindings sowie normale Client-Konnektivität verifiziert haben, speichern Sie die Konfiguration:

copy running-config startup-config

Für weiterführende Cisco-spezifische Details, Plattformunterschiede und Beispielkonfigurationen eignet sich der Anchor-Text Cisco Dynamic ARP Inspection (DAI) Überblick. Außerdem ist der technische ARP-Hintergrund über den Anchor-Text RFC 826 hilfreich, wenn Sie das Verhalten von ARP-Paketen und typische Angriffsformen besser einordnen möchten.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Postmortems nach Voice Outages: QoS Lessons Learned in Standards übersetzen

QoS Maturity Model: Von Best Effort zu Carrier-Grade QoE

QoS Roadmap: Schrittweise Einführung ohne Betriebsrisiko

Blueprint “Voice-Ready Access”: HQoS Patterns für DSL/FTTH/Cable

Blueprint “Metro QoS”: Ring-Design, Shaping Points und Queueing

Blueprint “Core QoS”: Class-Aware TE und skalierbare Policies

Blueprint “VPN QoS”: DSCP Preservation über IPSec/SD-WAN

Blueprint “Video QoS”: ABR, Priorisierung und Monitoring-Methoden

QoS Review Checkliste: Experten-Gates für Design und Konfiguration

Häufige QoS Fehlerbilder: Die Top 25 Ursachen für Voice/Video Probleme

Tools für QoS Troubleshooting: Counters, Telemetry, PCAPs, RTP Stats

QoS für IMS/VoLTE/VoNR: Echtzeitpfade im Telco Netz absichern