O Address Resolution Protocol (ARP) mapeia o endereço IP de um dispositivo para o endereço MAC do mesmo dispositivo. A inspeção ARP é usada para proteger uma rede de ataques ARP. Quando um pacote chega em uma interface (porta/LAG) definida como não confiável, a inspeção ARP compara o endereço IP e o endereço MAC do pacote com os endereços IP e os endereços MAC definidos anteriormente nas regras de controle de acesso ARP. Se os endereços coincidirem, o pacote será considerado válido e encaminhado. Este artigo explica como criar um grupo de controle de acesso ARP, como adicionar regras a um grupo de controle de acesso ARP e como configurar um grupo de controle de acesso ARP para uma VLAN nos switches gerenciados SF/SG 300 Series.
Para criar proteção contra ataques ARP, você deve seguir várias etapas:
A inspeção ARP deve ser ativada no switch. Consulte o artigo Address Resolution Protocol (ARP) Inspection Properties Configuration on 300 Series Managed Switches para obter ajuda.
A inspeção ARP só pode ser executada em interfaces que sejam consideradas não confiáveis. Para configurar uma interface como confiável ou não confiável, consulte o artigo Address Resolution Protocol (ARP) Inspection Configuration on 300 Series Managed Switches.
· Criar um grupo de controle de acesso ARP. Um grupo de controle de acesso ARP é uma lista do endereço IP e do endereço MAC dos diferentes dispositivos que têm permissão de acesso em uma interface não confiável.
· Para adicionar dispositivos adicionais a um grupo de controle de acesso ARP, você deve criar regras de controle de acesso ARP adicionais.
· Atribuir um grupo de controle de acesso ARP a uma VLAN. No entanto, você pode configurar apenas um grupo de controle de acesso ARP por VLAN.
Switches gerenciados SF/SG 300 Series
•1.3.0.62
Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > ARP Inspection > ARP Access Control. A página Controle de acesso ARP é aberta:
Etapa 2. Clique em Add. A janela Add ARP Access Control é exibida.
Etapa 3. Digite o nome desejado para o grupo de controle de acesso no campo ARP Access Control Name (Nome do controle de acesso ARP).
Etapa 4. Insira o endereço IP a ser atribuído ao controle de acesso no campo Endereço IP.
Etapa 5. Insira o endereço MAC a ser atribuído ao controle de acesso no campo MAC Address (Endereço MAC).
Note: O endereço IP e o endereço MAC devem se referir ao mesmo dispositivo. É assim que o switch verifica se o dispositivo deve ser confiável.
Etapa 6. Clique em Apply para aplicar as alterações e clique em Close para sair da janela Add ARP Access Control Name.
Note: Você deve ter um grupo de controle de acesso ARP para adicionar regras de controle de acesso ARP. Preencha a seção anterior se ainda não o fez.
Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > ARP Inspection > ARP control rules. A página Regras de controle de acesso ARP é aberta:
Note: Se você tiver muitos nomes de controle de acesso ARP, use a função Filtro para filtrar os nomes de controle de acesso ARP indesejados.
Etapa 2. Clique em Add. A janela Add ARP Access Control Rules é exibida.
Etapa 3. Escolha um nome de controle de acesso para adicionar outra regra na lista suspensa ARP Access Control Name.
Etapa 4. Insira o endereço IP a ser atribuído ao controle de acesso no campo Endereço IP.
Etapa 5. Insira o endereço MAC a ser atribuído ao controle de acesso no campo MAC Address (Endereço MAC).
Note: O par de endereços inserido deve ser de um novo dispositivo que você deseja adicionar ao grupo de controle de acesso.
Etapa 6. Clique em Apply para aplicar as alterações e clique em Close para sair da janela Add ARP Access Control Name.
Note: Você só pode adicionar um grupo de Controle de Acesso ARP por VLAN. Use as regras de controle de acesso ARP para adicionar vários dispositivos a um grupo de controle de acesso ARP e configurar esse grupo em uma VLAN.
Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > ARP Inspection > VLAN Settings. A página VLAN Settings é aberta:
Etapa 2. No campo VLANs disponíveis, clique na VLAN à qual deseja adicionar um grupo de Controle de Acesso ARP e clique no botão > para movê-la para o campo VLANs Habilitadas.
Etapa 3. Clique em Apply para habilitar a VLAN e permitir que um ARP Access Control seja adicionado.
Etapa 4. Clique em Adicionar para adicionar um controle de acesso ARP a uma VLAN. A janela VLAN Settings é exibida.
Etapa 5. Escolha uma VLAN na lista suspensa VLAN.
Etapa 6. Escolha o nome do controle de acesso ARP que você gostaria de aplicar a essa VLAN na lista suspensa ARP Access Control Name (Nome do controle de acesso ARP).
Passo 7. Clique em Apply (Aplicar) para aplicar as alterações e clique em Close (Fechar) para sair da janela VLAN Settings (Configurações de VLAN). A Tabela de configurações de VLAN deve exibir que a VLAN escolhida tem os controles de acesso ARP apropriados.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
11-Dec-2018 |
Versão inicial |