Inspeção dinâmica de ARP
O que é DAI
A Inspeção Dinâmica de ARP (Dynamic ARP Inspection — DAI) é um recurso de segurança da Camada 2 que protege a rede contra ataques de ARP spoofing e ARP poisoning.
Sem DAI, um atacante pode enviar respostas ARP falsas para associar seu próprio MAC ao IP de outro host (como o gateway), interceptando tráfego — ataque man-in-the-middle.
O DAI valida os pacotes ARP comparando IP/MAC com a tabela do DHCP Snooping Binding antes de encaminhar. Pacotes inválidos são descartados.
Pré-requisito: DHCP Snooping
DAI depende da tabela gerada pelo DHCP Snooping. Ative-o antes de configurar DAI:
ip dhcp snooping
ip dhcp snooping vlan 10> Hosts com IP estático não aparecem na tabela do DHCP Snooping. Para esses casos, use ARP ACLs manuais.
Portas confiáveis e não confiáveis
Assim como no DHCP Snooping, as portas DAI são classificadas em:
| Tipo | Comportamento |
|---|---|
| Untrusted (padrão) | ARP validado contra a tabela |
| Trusted | ARP encaminhado sem validação |
Uplinks para outros switches e roteadores devem ser configurados como trusted.
Configuração
! Ativar DAI na VLAN
ip arp inspection vlan 10
! Configurar porta upstream como trusted
interface GigabitEthernet0/1
ip arp inspection trustPortas de acesso (usuários) ficam untrusted por padrão — não há comando adicional necessário.
Verificação
show ip arp inspection vlan 10
show ip arp inspection interfaces
show ip arp inspection statisticsValidações adicionais
Por padrão, o DAI valida apenas o par IP/MAC. É possível habilitar verificações extras:
ip arp inspection validate src-mac dst-mac ip| Opção | O que verifica |
|---|---|
src-mac | MAC de origem no header Ethernet vs. campo sender MAC do ARP |
dst-mac | MAC de destino vs. campo target MAC (ARP replies) |
ip | Endereços IP inválidos (0.0.0.0, broadcast, multicast) |
> No exame, lembre-se que ip arp inspection validate substitui qualquer configuração anterior — sempre inclua todas as opções na mesma linha.
ARP ACL para hosts estáticos
Quando um host usa IP estático e não aparece na tabela do DHCP Snooping:
arp access-list ESTATICO-PC
permit ip host 192.168.10.50 mac host aabb.cc00.0100
ip arp inspection filter ESTATICO-PC vlan 10Taxa de ARP (Rate Limiting)
DAI aplica rate limiting automático em portas untrusted para prevenir ataques de DoS via flood de ARP:
interface GigabitEthernet0/2
ip arp inspection limit rate 100O padrão é 100 pacotes/segundo em portas untrusted e ilimitado em trusted. Exceder o limite coloca a porta em err-disabled.
Para reativar:
interface GigabitEthernet0/2
shutdown
no shutdownOu configurar recuperação automática:
errdisable recovery cause arp-inspection
errdisable recovery interval 30Resumo para o exame
- DAI protege contra ARP spoofing na Camada 2
- Requer DHCP Snooping ativo (ou ARP ACLs para IPs estáticos)
- Portas uplink → trusted; portas de acesso → untrusted (padrão)
- Pacotes ARP inválidos são descartados silenciosamente
ip arp inspection validatepermite verificações adicionais de src-mac, dst-mac e IP- Rate limiting padrão: 100 pps em untrusted; violação gera err-disabled