Das Address Resolution Protocol (ARP) ordnet die IP-Adresse eines Geräts der MAC-Adresse desselben Geräts zu. ARP Inspection dient zum Schutz eines Netzwerks vor ARP-Angriffen. Wenn ein Paket an einer Schnittstelle (Port/LAG) ankommt, die als nicht vertrauenswürdig definiert ist, vergleicht die ARP-Prüfung die IP-Adresse und die MAC-Adresse des Pakets mit den IP-Adressen und MAC-Adressen, die zuvor in den ARP-Zugriffskontrollregeln definiert wurden. Wenn die Adressen übereinstimmen, gilt das Paket als gültig und wird weitergeleitet. In diesem Artikel wird erläutert, wie Sie eine ARP-Zugriffskontrollgruppe erstellen, einer ARP-Zugriffskontrollgruppe Regeln hinzufügen und eine ARP-Zugriffskontrollgruppe für ein VLAN auf den Managed Switches der Serie SF/SG 300 konfigurieren.
Um Schutz vor ARP-Angriffen zu schaffen, müssen Sie mehrere Schritte ausführen:
· ARP Inspection muss auf dem Switch aktiviert sein. Hilfe hierzu finden Sie im Artikel Address Resolution Protocol (ARP) Inspection Properties Configuration on 300 Series Managed Switches.
· ARP-Inspektionen können nur an Schnittstellen durchgeführt werden, die als nicht vertrauenswürdig gelten. Informationen zum Konfigurieren einer Schnittstelle als vertrauenswürdig oder nicht vertrauenswürdig finden Sie im Artikel Konfiguration der ARP-Inspektionseigenschaften für verwaltete Switches der Serie 300.
· Erstellen Sie eine ARP-Zugriffskontrollgruppe. Eine ARP-Zugriffskontrollgruppe ist eine Liste der IP-Adresse und der MAC-Adresse der verschiedenen Geräte, denen Zugriff auf eine nicht vertrauenswürdige Schnittstelle gewährt wird.
· Um einer ARP-Zugriffskontrollgruppe zusätzliche Geräte hinzuzufügen, müssen Sie dann zusätzliche ARP-Zugriffskontrollregeln erstellen.
· Zuweisen einer ARP-Zugriffskontrollgruppe zu einem VLAN Sie können jedoch nur eine ARP-Zugriffskontrollgruppe pro VLAN konfigurieren.
· Managed Switches der Serie SF/SG 300
· 1.3.0.62
Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Security > ARP Inspection > ARP Access Control (Sicherheit > ARP-Inspektion > ARP-Zugriffskontrolle). Die Seite ARP-Zugriffskontrolle wird geöffnet:
Schritt 2: Klicken Sie auf Hinzufügen. Das Fenster ARP-Zugriffskontrolle hinzufügen wird angezeigt.
Schritt 3: Geben Sie im Feld ARP Access Control Name (ARP-Zugriffssteuerungsname) den gewünschten Namen für die Zugriffskontrollgruppe ein.
Schritt 4: Geben Sie im Feld IP-Adresse die IP-Adresse ein, die der Zugriffskontrolle zugewiesen werden soll.
Schritt 5: Geben Sie die MAC-Adresse ein, die der Zugriffskontrolle im Feld MAC Address (MAC-Adresse) zugewiesen werden soll.
Hinweis: Die IP-Adresse und die MAC-Adresse sollten sich auf dasselbe Gerät beziehen. Auf diese Weise überprüft der Switch, ob das Gerät vertrauenswürdig ist.
Schritt 6: Klicken Sie auf Übernehmen, um die Änderungen anzuwenden, und klicken Sie dann auf Schließen, um das Fenster ARP-Zugriffssteuerungsname hinzufügen zu verlassen.
Hinweis: Sie benötigen eine ARP-Zugriffskontrollgruppe, um ARP-Zugriffskontrollregeln hinzuzufügen. Bitte füllen Sie den vorherigen Abschnitt aus, falls Sie diesen noch nicht abgeschlossen haben.
Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Security > ARP Inspection > ARP control rules (Sicherheit > ARP-Inspektion > ARP-Kontrollregeln). Die Seite ARP-Zugriffskontrollregeln wird geöffnet:
Hinweis: Wenn Sie viele ARP-Zugriffssteuerungsnamen haben, können Sie die unerwünschten ARP-Zugriffssteuerungsnamen mithilfe der Filter-Funktion herausfiltern.
Schritt 2: Klicken Sie auf Hinzufügen. Das Fenster ARP-Zugriffskontrollregeln hinzufügen wird angezeigt.
Schritt 3: Wählen Sie einen Zugriffssteuerungsnamen aus, um in der Dropdown-Liste ARP Access Control Name (ARP-Zugriffssteuerungsname) eine weitere Regel hinzuzufügen.
Schritt 4: Geben Sie im Feld IP-Adresse die IP-Adresse ein, die der Zugriffskontrolle zugewiesen werden soll.
Schritt 5: Geben Sie die MAC-Adresse ein, die der Zugriffskontrolle im Feld MAC Address (MAC-Adresse) zugewiesen werden soll.
Hinweis: Das eingegebene Adresspaar sollte ein neues Gerät sein, das Sie der Zugriffskontrollgruppe hinzufügen möchten.
Schritt 6: Klicken Sie auf Apply, um die Änderungen zu übernehmen, und klicken Sie dann auf Close, um das Fenster ARP-Zugriffskontrollname hinzufügen zu schließen.
Hinweis: Sie können pro VLAN nur eine ARP-Zugriffskontrollgruppe hinzufügen. Verwenden Sie ARP-Zugriffskontrollregeln, um einer ARP-Zugriffskontrollgruppe mehrere Geräte hinzuzufügen und diese Gruppe dann in einem VLAN zu konfigurieren.
Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Security > ARP Inspection > VLAN Settings aus. Die Seite VLAN-Einstellungen wird geöffnet:
Schritt 2: Klicken Sie im Feld Available VLANs (Verfügbare VLANs) auf das VLAN, dem Sie eine ARP-Zugriffskontrollgruppe hinzufügen möchten, und klicken Sie auf die >-Schaltfläche, um es in das Feld Enabled VLANs (Aktivierte VLANs) zu verschieben.
Schritt 3: Klicken Sie auf Apply, um das VLAN zu aktivieren und das Hinzufügen einer ARP-Zugriffskontrolle zuzulassen.
Schritt 4: Klicken Sie auf Hinzufügen, um einem VLAN eine ARP-Zugriffskontrolle hinzuzufügen. Das Fenster VLAN-Einstellungen wird angezeigt.
Schritt 5: Wählen Sie aus der VLAN-Dropdown-Liste ein VLAN aus.
Schritt 6: Wählen Sie aus der Dropdown-Liste ARP Access Control Name (ARP-Zugriffssteuerungsname) aus, den Sie auf dieses VLAN anwenden möchten.
Schritt 7: Klicken Sie auf Apply, um die Änderungen anzuwenden, und klicken Sie dann auf Close, um das Fenster VLAN-Einstellungen zu schließen. In der Tabelle für die VLAN-Einstellungen sollte angezeigt werden, dass das ausgewählte VLAN über die entsprechenden ARP-Zugriffskontrollen verfügt.