Документация
Page tree
Skip to end of metadata
Go to start of metadata

Для предотвращения ARP Spoofing коммутатор должен убедиться, что только валидные ARP-запросы и ответы были переданы. В типичной атаке ARP Spoofing злоумышленник может отправлять незапрашиваемые ARP-ответы другим хостам в сети со своим MAC-адресом и IP-адресом default gateway.

Dynamic ARP inspection (DAI) помогает предотвратить такие атаки. Он перехватывает все ARP-запросы и ARP-ответы на недоверенных портах. Каждый перехваченный пакет проверяется по связке IP-MAC, которая создана DHCP Snooping или вручную. Также вы можете использовать DAI для ограничения pps ARP-пакетов.

Если ARP-пакет получен с доверенного порта, тогда коммутатор не станет проверять его, а просто перешлет по назначению. Если ARP-пакет получен с недоверенного порта, тогда коммутатор перешлет его только в случае, если он пройдет проверку.

Рассмотрим пример настройки.

Хорошим тоном является настраивать все абонентские порты, как недоверенные. Ограничим скорость пересылки ARP-пакетов на всех портах до 50 pps. Зададим доверенные и недоверенные порты.

В режиме глобальной конфигурации включим ARP Inspection и DHCP Snooping в VLAN 10:

(config)#ip dhcp snooping enable 
(config)#ip dhcp snooping vlan 10  
(config)#ip dhcp snooping binding enable           
(config)#ip arp inspection vlan 10

Настроим доверенным порт 1/0/1:

(config)#int e1/0/1
(config-if-ethernet1/0/1)#switchport access vlan 10
(config-if-ethernet1/0/1)#ip dhcp snooping trust 
(config-if-ethernet1/0/1)#ip arp inspection trust 
(config-if-ethernet1/0/1)#ip arp inspection limit-rate 50
(config-if-ethernet1/0/1)exit

Настроим клиентские порты:

(config)#int e1/0/2-3
(config-if-port-range)#switchport access vlan 10
(config-if-port-range)#ip arp inspection limit-rate 50

Проверим статус ARP Inspection:

#sh ip arp inspection           
Dynamic ARP Inspection port information:
-------------------------------------------------------
      Port          Limit-rate       Status
-------------------------------------------------------
  Ethernet1/0/1        50             trust  
  Ethernet1/0/2        50             untrust
  Ethernet1/0/3        50             untrust
-------------------------------------------------------