Útočník může pomocí zprávy “ARP reply” ve které uvede např. IP adresu brány a svou MAC adresu, přesměrovat provoz na sebe a stát se man in the middle. Tomuto útoku se říká “ARP poisoning” nebo “ARP spoofing”. Cisco switche k prevenci tohoto útoku používají DAI - Dynamic ARP Inspection. DAI funguje podbně jako DHCP Snooping, dělí porty na trusted a untrusted. Na trusted portech se nic neprověřuje - ideální pro trunk do jiného switche, kde na access portech probíhá také DAI. Na untrusted portech probíhá kontrola IP a MAC adresy v ARP reply na základě staticky zadaných informací nebo pomocí DHCP Snooping databáze. Pokud dojde k nesrovnalosti, je ARP reply zahozen a je vygenerována log zpráva.
Zapnutí DAI:
Defaultně jsou po zapnutí všechny porty untrusted. Nastavení Trusted portu:
Pro hosty se statickou IP je třeba vytvořit ACL, který definuje povolené MAC-IP kombinace.:
Aplikace ACL na DAI:
ARP replies jsou zachytávány a vyhodnocovány dle ACL, pokud v ACL není nalezena shoda, přejde se k vyhodnocení dle DHCP Snooping databáze. Avšak, je-li ACL aplikován an DAI s parametrem static, vyhodnocení proběhne jen na zákl. ACL.
Def. jsou vyhodnocována jen pole s adresami v ARP reply, skutečné adresy v ethernetovém rámci vyhodnocovány nejsou. Zapnutí vyhodnocování i skutečných adres v rámci: