Онлайн-демонстрация
Связаться с нами
7.12. Настройка проверки ARP (ARP Inspection)
Назначение
Проверка ARP - это функция безопасности, которая проверяет пакеты ARP в сети. Проверка ARP перехватывает, регистрирует и отбрасывает ARP-пакеты с недействительными связками IP-MAC-адресов. Эта функция защищает сеть от некоторых атак типа “человек посередине”. Проверка ARP гарантирует, что передаются только корректные запросы и ответы ARP.
Описание
Проверка ARP определяет достоверность ARP-пакета на основе действительных привязок IP-MAC-адресов, хранящихся в базе данных привязок DHCP snooping. Эта база данных создается DHCP snooping, если DHCP snooping включен в VLAN и глобально на коммутаторе.
Если ARP-пакет получен на доверенном интерфейсе, коммутатор пересылает пакет без каких-либо проверок. На недоверенных интерфейсах пакеты пересылаются только в том случае, если они достоверны.
Коммутатор выполняет следующие действия:
Перехватывает все ARP-запросы и ответы на недоверенных портах.
Проверяет, что каждый из перехваченных пакетов имеет действительную привязку IP к MAC-адресу перед обновлением локального ARP-кэша или перед пересылкой пакета в соответствующий пункт назначения.
Отбрасывает недействительные ARP-пакеты.
Настройка
Шаг 1: Вход в режим “Global config”
Switch# configure terminal
Шаг 2: Создание VLAN
Switch(config)# vlan database
Switch(config-vlan)# vlan 2
Switch(config-vlan)# exit
Switch(config)# exit
Шаг 3: Добавление портов в VLAN
Switch(config)# interface eth-0-1
Switch(config-if)# switchport access vlan 2
Switch(config-if)# exit
Switch(config)# interface eth-0-2
Switch(config-if)# switchport access vlan 2
Switch(config-if)# exit
Switch(config)# interface eth-0-3
Switch(config-if)# switchport access vlan 2
Switch(config-if)# exit
Switch(config)# interface eth-0-4
Switch(config-if)# switchport access vlan 2
Switch(config-if)# exit
Шаг 4: Настройка проверки ARP
Switch(config)# interface eth-0-1
Switch(config-if)# ip arp inspection trust
Switch(config-if)# exit
Switch(config)# ip arp inspection vlan 2
Switch(config)# ip arp inspection validate src-mac ip dst-mac
Шаг 5: Настройка ARP ACL
Создание и настройка ACL:
Switch(config)# arp access-list test
Switch(config-arp-acl)# deny request ip host 1.1.1.1 mac any
Switch(config-arp-acl)# exit
Включение фильтрации:
Switch(config)# ip arp inspection filter test vlan 2
Шаг 6: Включение логирования
Включение записи в лог-файл событий совпадения ARP-пакетов с ACL:
Switch(config)# ip arp inspection vlan 2 logging acl-match matchlog
Шаг 6: Выход из режима “Global config”
Switch(config)# exit
Шаг 7: Проверка
Вывод конфигурации службы проверки ARP:
Switch# show ip arp inspection
Source Mac Проверка : Enabled
Destination Mac Проверка : Enabled
IP Address Проверка : Enabled
Vlan Configuration ACL Match Static ACL
=================================================================
2 enabled test
Vlan ACL Logging DHCP Logging
=================================================================
2 deny deny
Vlan Forwarded Dropped DHCP Drops ACL Drops
=================================================================
2 0 0 0 0
Vlan DHCP Permits ACL Permits Source MAC Failures
=================================================================
2 0 0 0
Vlan Dest MAC Failures IP Проверка Failures Invalid Protocol Data
=================================================================
2 0 0 0
Вывод лога службы проверки ARP:
Switch# show ip arp inspection log
Total Log Buffer Size : 32
Syslog rate : 5 entries per 1 seconds.
1970-01-02 00:30:47 : Drop an ARP packet by ACL on vlan 2
1970-01-02 00:30:47 : Drop an ARP packet by ACL on vlan 2
1970-01-02 00:30:47 : Drop an ARP packet by ACL on vlan 2
1970-01-02 00:30:47 : Drop an ARP packet by ACL on vlan 2
1970-01-02 00:30:47 : Drop an ARP packet by ACL on vlan 2
1970-01-02 00:30:47 : Drop an ARP packet by ACL on vlan 2
1970-01-02 00:30:47 : Drop an ARP packet by ACL on vlan 2
1970-01-02 00:30:47 : Drop an ARP packet by ACL on vlan 2
1970-01-02 00:30:47 : Drop an ARP packet by ACL on vlan 2
1970-01-02 00:30:47 : Drop an ARP packet by ACL on vlan 2
1970-01-02 00:30:47 : Drop an ARP packet by ACL on vlan 2