Inscription Brochure
Inscription Brochure
Blog

Dynamic ARP Inspection : Comment ça Fonctionne et Pourquoi l’Activer ?

Publié le 8 mars 2026 Par Stephane

Votre réseau local est-il vraiment à l’abri des cyberattaques ? Savez-vous qu’un pirate peut facilement intercepter tout votre trafic, y compris les mots de passe et les données sensibles, sans que vous ne vous en rendiez compte ? Cette menace silencieuse s’appelle l’ARP Spoofing.

Heureusement, il existe une protection efficace pour votre commutateur. C’est là qu’intervient le Dynamic ARP Inspection (DAI), une fonctionnalité de sécurité qui agit comme un garde du corps pour votre réseau. Elle vérifie chaque paquet ARP pour s’assurer de sa légitimité et bloque les tentatives d’attaques comme le fameux Man-in-the-Middle.

L’Attaque Ciblée par le DAI : Comprendre l’ARP Spoofing

Pour bien comprendre l’utilité du DAI, il faut d’abord saisir le fonctionnement de l’attaque qu’il combat : l’ARP Spoofing, aussi appelé empoisonnement du cache ARP. Le protocole ARP (Address Resolution Protocol) est un mécanisme de base sur un réseau local. Son rôle est simple : faire correspondre une adresse IP à une adresse MAC physique. Chaque appareil sur le réseau maintient une table, le cache ARP, pour se souvenir de ces correspondances.

Le problème, c’est que le protocole ARP a été conçu sans penser à la sécurité. Il fait confiance à tout le monde. Une attaque par ARP Spoofing exploite cette naïveté. Voici comment elle se déroule :

  • Étape 1 : L’attaquant envoie de fausses réponses ARP. Il envoie des paquets ARP sur le réseau en prétendant être un autre appareil, comme la passerelle par défaut (votre routeur internet).
  • Étape 2 : L’usurpation d’adresse. Le paquet frauduleux dit par exemple : « L’adresse IP 192.168.1.1 (la passerelle) correspond maintenant à MON adresse MAC (celle de l’attaquant) ».
  • Étape 3 : Empoisonnement du cache ARP. Les ordinateurs cibles reçoivent cette fausse information et mettent à jour leur cache ARP sans se poser de questions.
  • Étape 4 : L’interception du trafic. À partir de ce moment, tout le trafic destiné à la passerelle est envoyé à l’attaquant. Il se trouve « au milieu » de la conversation, d’où le nom d’attaque Man-in-the-Middle (MITM).

Le résultat est critique. L’attaquant peut maintenant intercepter, lire ou modifier tout le trafic de ses victimes. C’est l’une des attaques les plus courantes et les plus dangereuses sur un réseau local, et le Dynamic ARP Inspection est conçu spécifiquement pour la contrer.

Le Prérequis Essentiel : Comment fonctionne le DHCP Snooping ?

Le Dynamic ARP Inspection ne peut pas fonctionner seul. Il a besoin d’un allié indispensable : le DHCP Snooping. Pensez au DAI comme à un garde du corps. Pour faire son travail, il a besoin d’une liste fiable des invités autorisés. Le DHCP Snooping lui fournit cette liste.

Le DHCP Snooping est une autre fonction de sécurité du switch qui surveille les messages DHCP échangés sur le réseau. En écoutant les attributions d’adresses IP par le serveur DHCP, il construit une base de données de liaison (DHCP Snooping binding database). Cette base est la source de vérité pour le DAI. Elle contient des informations fiables sur :

  • L’adresse IP attribuée à un client
  • L’adresse MAC de ce client
  • Le VLAN auquel il appartient
  • Le port du switch sur lequel il est connecté

Pour fonctionner, le DHCP Snooping divise les ports du switch en deux catégories :

  • Ports de confiance (trusted) : Ce sont les ports qui mènent à des serveurs DHCP légitimes. Le switch accepte tous les messages DHCP venant de ces ports.
  • Ports non approuvés (untrusted) : Ce sont tous les autres ports, généralement ceux connectés aux utilisateurs finaux. Le switch ne fait confiance qu’aux requêtes DHCP des clients sur ces ports et bloque les réponses de serveurs DHCP non autorisés.

Lorsque le DAI est activé, il utilise cette base de données pour valider chaque paquet ARP. Si un paquet ARP arrive sur une interface avec une combinaison IP/MAC qui ne correspond pas à une entrée dans la base du DHCP Snooping, le paquet est immédiatement rejeté. C’est ce mécanisme qui bloque l’ARP Spoofing.

Vous pouvez consulter cette base de données avec la commande `show ip dhcp snooping binding` :

Switch# show ip dhcp snooping binding
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
00:1A:2B:3C:4D:5E   192.168.10.15    684521      dhcp-snooping   10    GigabitEthernet0/1
AA:BB:CC:DD:EE:FF   192.168.10.22    712345      dhcp-snooping   10    GigabitEthernet0/2

Cette table montre que l’adresse MAC 00:1A:2B:3C:4D:5E a légitimement obtenu l’IP 192.168.10.15 sur l’interface Gi0/1. Le DAI autorisera donc les paquets ARP venant de cette source. Pour en savoir plus, consultez notre guide complet sur le DHCP Snooping.

Guide de Configuration du Dynamic ARP Inspection (DAI) étape par étape

La configuration du DAI est assez simple, mais elle doit être faite dans le bon ordre. Nous allons utiliser une topologie de base : un switch Cisco, un serveur DHCP et des clients dans le VLAN 10.

Étape 1 : Activer le DHCP Snooping (le prérequis)

Avant toute chose, vous devez activer le DHCP Snooping globalement sur le switch, puis spécifiquement pour le VLAN que vous voulez protéger. C’est l’étape la plus importante, car sans elle, le DAI n’a aucune base de données à consulter.

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10

La première commande active la fonction sur le commutateur. La seconde l’active pour le VLAN 10. Vous devez le faire pour chaque VLAN concerné.

Étape 2 : Configurer les ports de confiance

Maintenant, vous devez indiquer au switch quel port est connecté à votre serveur DHCP légitime. Ce port sera configuré comme « trusted ». Toutes les autres interfaces resteront « untrusted » par défaut.

Supposons que votre serveur DHCP est connecté sur l’interface GigabitEthernet0/24 :

Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# ip dhcp snooping trust

Cette configuration garantit que seules les réponses DHCP de votre serveur officiel seront utilisées pour construire la base de données de liaison.

Étape 3 : Activer le Dynamic ARP Inspection (DAI)

Une fois le DHCP Snooping en place, vous pouvez activer l’inspection ARP. Comme pour le snooping, cela se fait par VLAN. Pour activer le DAI sur le VLAN 10, utilisez la commande suivante :

Switch(config)# ip arp inspection vlan 10

C’est tout. Le DAI est maintenant actif pour le VLAN 10. Le switch va commencer à inspecter tous les paquets ARP entrants sur les ports non approuvés de ce VLAN et les comparer à la base de données du DHCP Snooping.

Étape 4 : Vérifier et tester le blocage

Pour vous assurer que le Dynamic ARP Inspection DAI fonctionne, vous pouvez simuler une attaque. Branchez un PC sur un port non approuvé, configurez manuellement une adresse IP qui appartient à un autre appareil du réseau, et essayez d’envoyer un ping. Le DAI devrait immédiatement bloquer les réponses ARP et le trafic.

Vous verrez apparaître des messages de log sur la console du switch, indiquant qu’un paquet a été rejeté :

%SW_DAI-4-DHCP_SNOOPING_DENY: 1 invalid ARP request was received on Gi0/5 in VLAN 10.

Ce message confirme que le DAI a intercepté un paquet ARP non valide et a protégé votre réseau. Votre sécurité est désormais renforcée.

Tableau Récapitulatif des Commandes DAI Essentielles

Pour vous faciliter la vie, voici un tableau qui résume les commandes les plus importantes pour la configuration et la vérification du Dynamic ARP Inspection. Gardez-le sous la main, il vous servira de « cheat sheet ».

Commande Description Contexte
ip arp inspection vlan <id> Active le DAI pour le ou les VLANs spécifiés. Configuration globale
ip arp inspection trust Définit une interface comme étant de confiance. Les paquets ARP ne sont pas inspectés sur ce port. Configuration d’interface
show ip arp inspection Affiche les statistiques et la configuration globale du DAI. Vérification
show ip dhcp snooping binding Affiche la base de données de liaison IP/MAC utilisée par le DAI. Vérification
ip arp inspection limit rate <pps> Limite le nombre de paquets ARP par seconde sur une interface pour éviter les attaques par déni de service. Configuration d’interface
ip arp inspection validate ... Ajoute des vérifications de sécurité supplémentaires (ex: src-mac, dst-mac, ip). Configuration globale

Gérer les Exceptions : Le Cas des Adresses IP Statiques

Le DAI pose un problème courant : que faire des appareils qui ont une adresse IP statique ? Pensez à vos serveurs, imprimantes ou routeurs. Comme ils n’utilisent pas DHCP pour obtenir leur adresse, ils ne figurent pas dans la base de données du DHCP Snooping. Par conséquent, le DAI bloquera systématiquement leurs paquets ARP, les isolant du réseau.

Heureusement, il existe deux solutions pour gérer ces cas particuliers.

Solution 1 (la plus simple) : Le port de confiance

La méthode la plus rapide est de configurer le port du switch auquel l’appareil statique est connecté comme un port de confiance. Pour cela, utilisez la commande ip arp inspection trust sur l’interface concernée.

Switch(config)# interface GigabitEthernet0/10
Switch(config-if)# ip arp inspection trust
Attention : Cette méthode est simple, mais elle a une implication majeure en matière de sécurité. En déclarant un port comme « trusted », vous désactivez toute inspection ARP sur cette interface. Si un attaquant parvenait à se brancher sur ce port, il pourrait lancer une attaque sans être détecté.

Solution 2 (la plus sécurisée) : L’ACL ARP

La méthode la plus sécurisée et la plus recommandée est d’utiliser une liste de contrôle d’accès ARP (ARP Access List). Cela vous permet de créer une exception manuelle et très spécifique pour autoriser une combinaison IP/MAC précise, sans désactiver la sécurité sur tout le port.

Le processus se fait en deux étapes :

  1. Créer la liste d’accès ARP : Vous définissez une règle qui autorise l’adresse IP et l’adresse MAC de votre serveur.
    2. Switch(config)# arp access-list STATIC_DEVICES
Switch(config-arp-nacl)# permit ip host 192.168.10.5 mac host 00:50:56:A3:11:22
  2. Appliquer le filtre au VLAN : Vous liez cette ACL à la configuration DAI du VLAN concerné.
    3. Switch(config)# ip arp inspection filter STATIC_DEVICES vlan 10

Avec cette configuration, le DAI consultera d’abord la base de données DHCP Snooping. S’il ne trouve pas de correspondance, il vérifiera ensuite votre liste d’accès ARP. Si le paquet correspond à une entrée de l’ACL, il sera autorisé. C’est la solution idéale pour allier sécurité et flexibilité.

Vérification et Dépannage du DAI

Une fois le DAI configuré, il est essentiel de vérifier qu’il fonctionne comme prévu et de savoir comment interpréter les informations qu’il fournit. La commande principale pour cela est show ip arp inspection.

Switch# show ip arp inspection

Source Mac Validation      : Disabled
Destination Mac Validation : Disabled
IP Address Validation      : Disabled

Vlan     Configuration    Operation   ACL Match   Static ACL
----     -------------    ---------   ---------   ----------
  10     Enabled          Active

Vlan     Forwarded        Dropped     DHCP Drops  ACL Drops
----     ---------        -------     ----------  ---------
  10     15248            215         215         0

Voici comment lire ces informations :

  • Vlan Configuration : Confirme que le DAI est bien activé (« Enabled ») pour le VLAN 10.
  • Forwarded : Le nombre de paquets ARP légitimes qui ont été autorisés à passer.
  • Dropped : Le nombre total de paquets rejetés. C’est le chiffre à surveiller.
  • DHCP Drops : La cause du rejet. Ici, 215 paquets ont été bloqués car leur combinaison IP/MAC n’était pas dans la base DHCP Snooping.
  • ACL Drops : Le nombre de paquets bloqués car ils ne correspondaient pas à une ACL ARP statique.

Si vous rencontrez des problèmes de connectivité pour certains appareils, cette commande est votre premier outil de diagnostic. Un nombre élevé de « Dropped » indique que le DAI bloque du trafic. Il faut alors vérifier la configuration du DHCP Snooping ou ajouter des exceptions pour les adresses IP statiques.

Pour des statistiques plus détaillées par interface, utilisez la commande show ip arp inspection statistics vlan 10. Enfin, gardez toujours un œil sur les messages de log du switch, car ils vous indiqueront en temps réel la raison exacte d’un blocage de paquet.

FAQ – Dynamic ARP Inspection

Qu’est-ce que l’inspection dynamique ARP (DAI) ?

Le Dynamic ARP Inspection (DAI) est une fonctionnalité de sécurité sur les commutateurs réseau qui valide les paquets ARP. Elle intercepte ces paquets et vérifie leur légitimité en les comparant à une base de données fiable (généralement fournie par le DHCP Snooping) avant de les laisser passer. Son but principal est de prévenir les attaques par usurpation d’ARP (ARP spoofing) et les attaques Man-in-the-Middle.

Pourquoi le DHCP Snooping est-il un prérequis pour le DAI ?

C’est simple : le DAI a besoin d’une source d’information fiable pour savoir quelle combinaison adresse IP / adresse MAC / port est légitime. Le DHCP Snooping lui fournit cette base de données en écoutant les échanges DHCP. Sans elle, le DAI travaillerait à l’aveugle et ne pourrait pas distinguer un paquet ARP légitime d’une attaque.

Que faire si des périphériques légitimes avec des IP statiques sont bloqués ?

C’est un cas très courant. Comme les appareils à IP statique n’utilisent pas DHCP, le DAI les bloque par défaut. Vous avez deux solutions. La plus simple est de marquer le port du switch comme « de confiance » (ip arp inspection trust), mais cela baisse la sécurité. La méthode recommandée est de créer une ACL ARP (arp access-list) pour autoriser manuellement la paire IP/MAC de votre appareil.

Quelles sont les principales commandes pour configurer et vérifier le DAI ?

Les commandes clés sont :

  • ip dhcp snooping et ip dhcp snooping vlan [id] pour activer le prérequis.
  • ip arp inspection vlan [id] pour activer le DAI.
  • show ip arp inspection et show ip dhcp snooping binding pour vérifier le bon fonctionnement.

Le DAI peut-il bloquer tous les types d’attaques réseau ?

Non. Le DAI est une protection de couche 2 très efficace, mais elle est spécialisée. Elle cible spécifiquement les attaques basées sur l’usurpation du protocole ARP. Elle ne protège pas contre d’autres types d’attaques comme le déni de service (DoS), les virus, le phishing ou les attaques sur les couches supérieures du modèle OSI. La sécurité réseau doit être une approche en couches, et le DAI n’est qu’une de ces couches, bien que fondamentale.

Activer le Dynamic ARP Inspection n’est plus une option, c’est une nécessité pour la sécurité de tout réseau d’entreprise moderne. C’est votre meilleure ligne de défense contre les attaques insidieuses de type Man-in-the-Middle qui exploitent les faiblesses du protocole ARP.

La clé du succès est de bien maîtriser son interaction avec le DHCP Snooping et de gérer correctement les exceptions comme les adresses IP statiques via les ACL ARP. En suivant les étapes de ce guide, vous pouvez renforcer considérablement la robustesse de votre infrastructure. Pour aller plus loin, retrouvez plus de plus de tutoriels vidéo sur notre chaîne YouTube.

Stephane Formezvousrapidement

Stephane

Voir tous les articles
Article précédent SMIC Luxembourg Net : Quel Montant en 2026 ? Article suivant Association ou Organisation : Définition et Différences

Découvrez nos formations complètes

Téléchargez notre brochure pour explorer en détail nos programmes de formation, nos méthodes pédagogiques et les compétences que vous allez acquérir.

Obtenir la brochure

Articles similaires

Expert Comptable Salaire par Mois : Ça Représente Combien ?

14 mars 2026

Bullet Points Exemple : 15 Modèles à Recopier

19 mars 2026

Fichier HEIC : C’est Quoi et Comment L’Ouvrir

5 octobre 2025