Le protocole ARP (Address Resolution Protocol) mappe l'adresse IP d'un périphérique à l'adresse MAC du même périphérique. L’inspection ARP est utilisée pour protéger un réseau contre les attaques ARP. Lorsqu'un paquet arrive sur une interface (port/LAG) définie comme non fiable, l'inspection ARP compare l'adresse IP et l'adresse MAC du paquet avec les adresses IP et MAC précédemment définies dans les règles de contrôle d'accès ARP. Si les adresses correspondent, le paquet est considéré comme valide et est transféré. Cet article explique comment créer un groupe de contrôle d'accès ARP, comment ajouter des règles à un groupe de contrôle d'accès ARP et comment configurer un groupe de contrôle d'accès ARP à un VLAN sur les commutateurs gérés de la gamme SF/SG 300.
Pour créer une protection contre les attaques ARP, procédez comme suit :
· l'inspection ARP doit être activée sur le commutateur. Référez-vous à l'article Configuration des propriétés d'inspection ARP (Address Resolution Protocol) sur les commutateurs gérés de la gamme 300 pour obtenir de l'aide.
· inspection ARP ne peut être effectuée que sur les interfaces considérées comme non fiables. Pour configurer une interface comme étant fiable ou non fiable, reportez-vous à l'article Configuration des propriétés d'inspection du protocole ARP (Address Resolution Protocol) sur les commutateurs gérés de la gamme 300.
· créer un groupe de contrôle d'accès ARP. Un groupe de contrôle d'accès ARP est une liste des adresses IP et MAC des différents périphériques auxquels l'accès est autorisé sur une interface non fiable.
· Pour ajouter des périphériques supplémentaires à un groupe de contrôle d'accès ARP, vous devez ensuite créer des règles de contrôle d'accès ARP supplémentaires.
· Affectez un groupe de contrôle d'accès ARP à un VLAN. Cependant, vous ne pouvez configurer qu'un seul groupe de contrôle d'accès ARP par VLAN.
Commutateurs gérés · série SF/SG 300
•1.3.0.62
Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Security > ARP Inspection > ARP Access Control. La page ARP Access Control s'ouvre :
Étape 2. Cliquez sur Add. La fenêtre Add ARP Access Control apparaît.
Étape 3. Saisissez le nom souhaité pour le groupe de contrôle d'accès dans le champ ARP Access Control Name.
Étape 4. Saisissez l'adresse IP à attribuer au contrôle d'accès dans le champ IP Address.
Étape 5. Saisissez l'adresse MAC à attribuer au contrôle d'accès dans le champ MAC Address.
Note: L'adresse IP et l'adresse MAC doivent faire référence au même périphérique. C’est ainsi que le commutateur vérifie que le périphérique est fiable.
Étape 6. Cliquez sur Apply pour appliquer les modifications, puis cliquez sur Close pour quitter la fenêtre Add ARP Access Control Name.
Note: Vous devez disposer d'un groupe de contrôle d'accès ARP pour ajouter des règles de contrôle d'accès ARP. Veuillez compléter la section précédente si vous ne l'avez pas encore fait.
Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Security > ARP Inspection > ARP control rules. La page ARP Access Control Rules s'ouvre :
Note: Si vous avez plusieurs noms de contrôle d'accès ARP, utilisez la fonction Filter pour filtrer les noms de contrôle d'accès ARP indésirables.
Étape 2. Cliquez sur Add. La fenêtre Ajouter des règles de contrôle d'accès ARP apparaît.
Étape 3. Choisissez un nom de contrôle d'accès auquel ajouter une autre règle dans la liste déroulante Nom de contrôle d'accès ARP.
Étape 4. Saisissez l'adresse IP à attribuer au contrôle d'accès dans le champ IP Address.
Étape 5. Saisissez l'adresse MAC à attribuer au contrôle d'accès dans le champ MAC Address.
Note: La paire d'adresses entrée doit provenir d'un nouveau périphérique que vous voulez ajouter au groupe de contrôle d'accès.
Étape 6. Cliquez sur Apply pour appliquer les modifications, puis cliquez sur Close pour quitter la fenêtre Add ARP Access Control Name.
Note: Vous ne pouvez ajouter qu'un seul groupe de contrôle d'accès ARP par VLAN. Utilisez les règles de contrôle d'accès ARP pour ajouter plusieurs périphériques à un groupe de contrôle d'accès ARP, puis configurez ce groupe sur un VLAN.
Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Security > ARP Inspection > VLAN Settings. La page VLAN Settings s'ouvre :
Étape 2. Dans le champ VLAN disponibles, cliquez sur le VLAN auquel vous souhaitez ajouter un groupe de contrôle d'accès ARP et cliquez sur le bouton > pour le déplacer vers le champ VLAN activés.
Étape 3. Cliquez sur Apply pour activer le VLAN et autoriser l'ajout d'un contrôle d'accès ARP.
Étape 4. Cliquez sur Add pour ajouter un contrôle d'accès ARP à un VLAN. La fenêtre VLAN Settings s'affiche.
Étape 5. Sélectionnez un VLAN dans la liste déroulante VLAN.
Étape 6. Sélectionnez le nom de contrôle d'accès ARP que vous souhaitez appliquer à ce VLAN dans la liste déroulante Nom de contrôle d'accès ARP.
Étape 7. Cliquez sur Apply pour appliquer les modifications, puis cliquez sur Close pour quitter la fenêtre VLAN Settings. Le tableau VLAN Settings doit indiquer que le VLAN que vous avez choisi possède les contrôles d'accès ARP appropriés.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
11-Dec-2018 |
Première publication |