Dynamic ARP Inspection (DAI) ist eine wichtige Sicherheitsfunktion, die ARP-basierte Angriffe im Netzwerk, wie ARP Spoofing oder Man-in-the-Middle-Angriffe, verhindert. Dabei wird der ARP-Verkehr überprüft, um sicherzustellen, dass ARP-Anfragen und -Antworten nur von vertrauenswürdigen Quellen stammen. In diesem Artikel wird erklärt, wie DAI richtig konfiguriert und betrieben wird, um false positives zu vermeiden und die Netzwerksicherheit zu gewährleisten.
1. Was ist Dynamic ARP Inspection?
Dynamic ARP Inspection (DAI) ist eine Sicherheitsfunktion, die ARP-Nachrichten in einem Netzwerk überprüft und sicherstellt, dass nur legitime ARP-Nachrichten zugelassen werden. Diese Funktion verhindert ARP-Spoofing-Angriffe, bei denen ein Angreifer seine MAC-Adresse fälscht, um den Datenverkehr umzuleiten und so sensible Informationen abzugreifen.
2. Konfiguration von DAI
DAI prüft ARP-Nachrichten, indem es diese mit einer bekannten und vertrauenswürdigen Datenbank von IP-MAC-Paaren abgleicht. Die Datenbank wird üblicherweise durch DHCP Snooping oder statische Einträge auf den Switches aufgebaut. Der Switch überprüft dann eingehende ARP-Nachrichten und validiert, ob die MAC-Adresse und IP-Adresse in der Datenbank übereinstimmen.
2.1. Aktivierung von DAI
Um DAI auf einem Cisco-Switch zu aktivieren, müssen Sie DHCP Snooping und DAI konfigurieren. Zuerst müssen Sie DHCP Snooping aktivieren, um eine vertrauenswürdige Datenbank der IP-MAC-Paare zu erstellen.
ip dhcp snooping
ip dhcp snooping vlan 10
ip arp inspection vlan 10
2.2. Vertrauenswürdige und nicht vertrauenswürdige Ports
DAI unterscheidet zwischen vertrauenswürdigen und nicht vertrauenswürdigen Ports. Vertrauenswürdige Ports sind normalerweise mit einem DHCP-Server verbunden und können ARP-Nachrichten senden. Alle anderen Ports werden als nicht vertrauenswürdig betrachtet und werden auf ungültige ARP-Nachrichten überprüft.
interface GigabitEthernet0/1
ip arp inspection trust
3. False Positives in DAI
Ein häufiges Problem bei der Konfiguration von DAI ist das Auftreten von „false positives“, also die fälschliche Ablehnung legitimer ARP-Nachrichten. Diese falschen Positiven können durch mehrere Faktoren verursacht werden, z. B. durch fehlerhafte MAC-Adressen oder inkompatible DHCP-Konfigurationen. Es ist wichtig, diese Probleme zu identifizieren und zu beheben, um die Auswirkungen auf das Netzwerk zu minimieren.
3.1. Ursachen für False Positives
- Unzureichende oder fehlerhafte DHCP Snooping-Datenbank: Wenn die Datenbank mit IP-MAC-Paaren unvollständig oder falsch ist, können gültige ARP-Nachrichten abgelehnt werden.
- Verwenden von statischen IP-Adressen ohne manuelle Konfiguration in der DHCP Snooping-Datenbank.
- Vertrauenswürdige Ports, die fälschlicherweise als nicht vertrauenswürdig markiert sind, wodurch gültige ARP-Nachrichten blockiert werden.
- Fehlerhafte oder veraltete ARP-Caches, die zu einer falschen Validierung von ARP-Nachrichten führen.
3.2. Vermeidung von False Positives
Um False Positives zu vermeiden, sollten Sie folgende Best Practices befolgen:
- Aktualisieren Sie regelmäßig die DHCP Snooping-Datenbank, insbesondere wenn statische IP-Adressen im Netzwerk verwendet werden.
- Stellen Sie sicher, dass nur vertrauenswürdige Ports mit der Option „ip arp inspection trust“ konfiguriert sind.
- Überwachen und pflegen Sie die ARP-Caches auf den Switches, um sicherzustellen, dass sie aktuell sind und keine ungültigen Einträge enthalten.
3.3. Beispiel für das Beheben von False Positives
Wenn DAI legitime ARP-Nachrichten blockiert, kann dies durch eine fehlerhafte DHCP Snooping-Datenbank oder falsche Konfigurationen verursacht werden. Um dies zu beheben, können Sie die folgenden Schritte ausführen:
show ip dhcp snooping binding
show ip arp inspection
Diese Befehle helfen, die DHCP Snooping-Datenbank und die ARP-Inspektionsprotokolle zu überprüfen, um sicherzustellen, dass die korrekten IP-MAC-Paare und Vertrauenseinstellungen verwendet werden.
4. DAI in der Praxis
In einer realen Netzwerkumgebung sollte DAI immer in Kombination mit anderen Sicherheitsfunktionen wie DHCP Snooping, IP Source Guard und Dynamic ARP Inspection aktiviert werden, um das Netzwerk vor ARP-basierten Angriffen zu schützen. Die richtige Konfiguration und Überwachung dieser Funktionen ist entscheidend für den langfristigen Erfolg und die Sicherheit des Netzwerks.
4.1. Beispiel für eine vollständige DAI-Konfiguration
ip dhcp snooping
ip dhcp snooping vlan 10
ip arp inspection vlan 10
interface range GigabitEthernet0/1 - 24
ip arp inspection trust
Durch diese Konfiguration wird sichergestellt, dass nur vertrauenswürdige ARP-Nachrichten in VLAN 10 zugelassen werden, und dass alle anderen ARP-Nachrichten validiert und bei Bedarf blockiert werden.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
