Документация
Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Current »

Для предотвращения ARP Spoofing коммутатор должен убедиться, что только валидные ARP-запросы и ответы были переданы. В типичной атаке ARP Spoofing злоумышленник может отправлять незапрашиваемые ARP-ответы другим хостам в сети со своим MAC-адресом и IP-адресом default gateway.

Dynamic ARP inspection (DAI) помогает предотвратить такие атаки. Он перехватывает все ARP-запросы и ARP-ответы на недоверенных портах. Каждый перехваченный пакет проверяется по связке IP-MAC, которая создана DHCP Snooping или вручную. Также вы можете использовать DAI для ограничения pps ARP-пакетов.

Если ARP-пакет получен с доверенного порта, тогда коммутатор не станет проверять его, а просто перешлет по назначению. Если ARP-пакет получен с недоверенного порта, тогда коммутатор перешлет его только в случае, если он пройдет проверку.

Рассмотрим пример настройки.

Хорошим тоном является настраивать все абонентские порты, как недоверенные. Ограничим скорость пересылки ARP-пакетов на всех портах до 50 pps. Зададим доверенные и недоверенные порты.

В режиме глобальной конфигурации включим ARP Inspection и DHCP Snooping в VLAN 10:

(config)#ip dhcp snooping enable 
(config)#ip dhcp snooping vlan 10  
(config)#ip dhcp snooping binding enable           
(config)#ip arp inspection vlan 10

Настроим доверенным порт 1/0/1:

(config)#int e1/0/1
(config-if-ethernet1/0/1)#switchport access vlan 10
(config-if-ethernet1/0/1)#ip dhcp snooping trust 
(config-if-ethernet1/0/1)#ip arp inspection trust 
(config-if-ethernet1/0/1)#ip arp inspection limit-rate 50
(config-if-ethernet1/0/1)exit

Настроим клиентские порты:

(config)#int e1/0/2-3
(config-if-port-range)#switchport access vlan 10
(config-if-port-range)#ip arp inspection limit-rate 50

Проверим статус ARP Inspection:

#sh ip arp inspection           
Dynamic ARP Inspection port information:
-------------------------------------------------------
      Port          Limit-rate       Status
-------------------------------------------------------
  Ethernet1/0/1        50             trust  
  Ethernet1/0/2        50             untrust
  Ethernet1/0/3        50             untrust
-------------------------------------------------------
  • No labels