ARP Check所解决的问题

ARP Check主要用于解决ARP欺骗的问题，依赖于DHCP Snooping+IP Source Guard或者是端口安全+全局地址绑定来达到防止ARP欺骗的作用

一旦在端口下配置了ARP Check功能，那么如果不是表项中所对应的IP+MAC或是IP的话，就会拒绝其请求

ARP的工作原理

如下图，当PC1去访问PC3的时候，当数据包发到接入层交换机的时候，SW1会进行泛洪处理

PC3收到数据后，会进行记录，接着会发送一个ARP应答包给SW1，SW1会进行什么IP地址对应哪个接口转发的绑定

最后SW1将ARP包发送给PC1，PC1就会开始发送数据

ARP欺骗的工作原理

ARP欺骗主要使用用到ARP包两个不可改变的漏洞，1、无验证机制，2、后到优先，即后发的数据会进行更新

在其中，黑客PC2会通过伪造的ARP应答包，欺骗PC1和PC3，让它们误以为PC2就是对方，最后，它们两个的数据全部都被黑客PC2个截取了

欺骗的方式是在伪造的ARP应答包中，伪造为对方的IP，如PC2发送给PC1时，使用PC3的IP地址，但是还是使用PC2的MAC地址

因为接入层SW是二层设备，是看不出IP的不同，并且依然是使用PC2的MAC地址，所以在ARP应答的过程中，使得PC1的目标MAC为PC2，则接入层交换机也就自然而然地将数据发送给了PC2，这样依赖，PC1和PC3都被PC2给欺骗了

ARP Check的两种模式

通过ARP Check可以解决ARP欺骗，但是后到优先的问题是依然无法解决的，只是解决ARP包无验证机制的漏洞

ARP Check依赖于DHCP Snooping+IP Source Guard或者是端口安全+全局地址绑定产生的IP或是IP+MAC的表项对ARP的真实性进行校验

校验失败的ARP包将会被直接丢弃掉，所以ARP Chek也就只有两种校验模式

1、仅检测IP，2、仅检测IP+MAC，都有不同的方式来创建表项

仅检测IP可以是IP-only模式，端口下进行对IP地址的绑定switchport port-security binding 172.16.1.10

或者是IP Source Guard的IP-only模式，端口下ip verify source，默认就是IP-only模式

仅检测IP+MAC可以通过端口安全的端口下配置switchport port-security binding 144f.d7c0.79c3 vlan 2 172.16.1.10

或全局地址绑定IP+MAC绑定，全局下配置address-bind 192.168.1.1 0001.0001.0001

或是IP Source Guard的IP-MAC模式，端口下开启这个模式ip verify source port-security，再由DHCP snooping来创建IP+MAC的表项

ARP Check的配置

因为ARP Check是依赖于DHCP Snooping+IP Source Guard或者是端口安全+全局地址绑定所产生的表项的

所以ARP Check配置起来并不麻烦，只需要再接口下开启这个功能即可

接口下开启ARP Check后，会严格按照产生表项来匹配那些数据不能进入，哪些数据可以进入

通常不会再上联接口(与网关的接口)配置ARP Check，而是与下联接口(与PC的接口)配置ARP Check

int g0/1-3
arp-check		//进入接口下开启ARP Check功能

网关ARP欺骗

网关ARP欺骗与普通的ARP欺骗是一样的，原因也是因为ARP包无验证与后到优先的原因

只不过欺骗的PC这次将直接模拟成了内网PC机的网关，这样就会造成内网的数据被嗅探到了

使得内网进行访问时可能会访问到其它的网站或者是无法正常进行访问

网关ARP Check的配置

网关ARP Check的配置与普通ARP Check的配置相似，也是不会在上联接口配置，而是在下联接口配置

一旦收到了下联接口发出网关的IP地址，就会立即将这个ARP包丢弃掉

所以我们在配置时，还需要手动数据我们的IP地址

int g0/1-3
anti-arp-spoofing ip 192.168.1.254 		//g0/1-3为下联PC的接口，192.168.1.254为上联的网关IP地址

ARP Check注意事项

1、如果只在接口下开启，而没有配置如DHCP Snooping+IP Source Guard或者是端口安全+全局地址绑定的技术的话，那么接入层交换机会将收到的所有的ARP报文给丢弃掉

2、ARP Check与DHCP Snooping trust口是不能一致的，这也是我们为什么说APR Check不在上联口进行配置

3、不能在三层口上配置ARP Check

4、ARP Check仅支持IP检测与IP+MAC检测

5、使用ARP Check之前要有固定对应关系IP表现或是IP+MAC表项，也就是我们常说的DHCP Snooping+IP Source Guard或者是端口安全+全局地址绑定所产生的表项

6、DAI技术，也是一种ARP Check，只不过是动态ARP Check，其最大的区别在与DAI是作用与VLAN，而APR Check是作用与端口

网关ARP Check案例

因为ARP Check是基于DHCP Snooping+IP Source Guard或者是端口安全+全局地址绑定的，所以在配置ARP Chcek之前，我们还是需要配置上DHCP Snooping+IP Source Guard的

核心交换机SW2上DHCP的配置

SW2(config)#service dhcp
SW2(config)#ip dhcp pool VLAN10
SW2(dhcp-config)#network 192.168.1.0 255.255.255.0
SW2(dhcp-config)#default-router 192.168.1.254
SW2(dhcp-config)#ex

接入交换机SW1上DHCP Snooping 的配置

SW1(config)#ip dhcp snooping 
SW1(config)#int g0/0
SW1(config-if-GigabitEthernet 0/0)#ip dhcp snooping trust
SW1(config-if-GigabitEthernet 0/0)#ex

接入交换机SW1上IP Source Guard 的配置

SW1(config)#ip source binding 0050.7966.6804 vlan 10 192.168.1.2 int g0/2		//PC2通过手动配置IP地址
SW1(config)#int range g0/1-3
SW1(config-if-range)#ip verify source port-security 

接入交换机SW1上ARP Check配置

SW1(config)#int range g0/1-3
SW1(config-if-range)#anti-arp-spoofing ip 192.168.1.254

查看ARP Check状态

SW1(config)#show int g0/1 arp-check list 
SW1(config)#show int g0/2 arp-check list 
SW1(config)#show int g0/3 arp-check list 

heck状态

SW1(config)#show int g0/1 arp-check list 
SW1(config)#show int g0/2 arp-check list 
SW1(config)#show int g0/3 arp-check list