Configuração das regras de controle de acesso do Address Resolution Protocol (ARP) em switches gerenciados 300 Series

Objetivo

O Address Resolution Protocol (ARP) mapeia o endereço IP de um dispositivo para o endereço MAC do mesmo dispositivo. A inspeção ARP é usada para proteger uma rede de ataques ARP. Quando um pacote chega em uma interface (porta/LAG) definida como não confiável, a inspeção ARP compara o endereço IP e o endereço MAC do pacote com os endereços IP e os endereços MAC definidos anteriormente nas regras de controle de acesso ARP. Se os endereços coincidirem, o pacote será considerado válido e encaminhado. Este artigo explica como criar um grupo de controle de acesso ARP, como adicionar regras a um grupo de controle de acesso ARP e como configurar um grupo de controle de acesso ARP para uma VLAN nos switches gerenciados SF/SG 300 Series.

Para criar proteção contra ataques ARP, você deve seguir várias etapas:

A inspeção ARP deve ser ativada no switch.  Consulte o artigo Address Resolution Protocol (ARP) Inspection Properties Configuration on 300 Series Managed Switches para obter ajuda.

A inspeção ARP só pode ser executada em interfaces que sejam consideradas não confiáveis. Para configurar uma interface como confiável ou não confiável, consulte o artigo Address Resolution Protocol (ARP) Inspection Configuration on 300 Series Managed Switches.

· Criar um grupo de controle de acesso ARP. Um grupo de controle de acesso ARP é uma lista do endereço IP e do endereço MAC dos diferentes dispositivos que têm permissão de acesso em uma interface não confiável.

· Para adicionar dispositivos adicionais a um grupo de controle de acesso ARP, você deve criar regras de controle de acesso ARP adicionais.

· Atribuir um grupo de controle de acesso ARP a uma VLAN. No entanto, você pode configurar apenas um grupo de controle de acesso ARP por VLAN.

Dispositivos aplicáveis

Switches gerenciados SF/SG 300 Series

Versão de software

•1.3.0.62

Configuração do controle de acesso ARP

Crie um grupo de controle de acesso ARP

Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > ARP Inspection > ARP Access Control. A página Controle de acesso ARP é aberta:

Etapa 2. Clique em Add. A janela Add ARP Access Control é exibida.

Etapa 3. Digite o nome desejado para o grupo de controle de acesso no campo ARP Access Control Name (Nome do controle de acesso ARP).

Etapa 4. Insira o endereço IP a ser atribuído ao controle de acesso no campo Endereço IP.

Etapa 5. Insira o endereço MAC a ser atribuído ao controle de acesso no campo MAC Address (Endereço MAC).

Note: O endereço IP e o endereço MAC devem se referir ao mesmo dispositivo.  É assim que o switch verifica se o dispositivo deve ser confiável.

Etapa 6. Clique em Apply para aplicar as alterações e clique em Close para sair da janela Add ARP Access Control Name.

Adicionar regras de controle de acesso ARP

Note: Você deve ter um grupo de controle de acesso ARP para adicionar regras de controle de acesso ARP. Preencha a seção anterior se ainda não o fez.

Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > ARP Inspection > ARP control rules. A página Regras de controle de acesso ARP é aberta:

Note: Se você tiver muitos nomes de controle de acesso ARP, use a função Filtro para filtrar os nomes de controle de acesso ARP indesejados.

Etapa 2. Clique em Add. A janela Add ARP Access Control Rules é exibida.

Etapa 3. Escolha um nome de controle de acesso para adicionar outra regra na lista suspensa ARP Access Control Name.

Etapa 4. Insira o endereço IP a ser atribuído ao controle de acesso no campo Endereço IP.

Etapa 5. Insira o endereço MAC a ser atribuído ao controle de acesso no campo MAC Address (Endereço MAC).

Note: O par de endereços inserido deve ser de um novo dispositivo que você deseja adicionar ao grupo de controle de acesso.

Etapa 6. Clique em Apply para aplicar as alterações e clique em Close para sair da janela Add ARP Access Control Name.

Configurar o controle de acesso ARP para uma VLAN 

Note: Você só pode adicionar um grupo de Controle de Acesso ARP por VLAN.  Use as regras de controle de acesso ARP para adicionar vários dispositivos a um grupo de controle de acesso ARP e configurar esse grupo em uma VLAN.

Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > ARP Inspection > VLAN Settings. A página VLAN Settings é aberta:

Etapa 2. No campo VLANs disponíveis, clique na VLAN à qual deseja adicionar um grupo de Controle de Acesso ARP e clique no botão > para movê-la para o campo VLANs Habilitadas.

Etapa 3. Clique em Apply para habilitar a VLAN e permitir que um ARP Access Control seja adicionado.

Etapa 4. Clique em Adicionar para adicionar um controle de acesso ARP a uma VLAN.  A janela VLAN Settings é exibida.

Etapa 5. Escolha uma VLAN na lista suspensa VLAN.

Etapa 6. Escolha o nome do controle de acesso ARP que você gostaria de aplicar a essa VLAN na lista suspensa ARP Access Control Name (Nome do controle de acesso ARP).

Passo 7. Clique em Apply (Aplicar) para aplicar as alterações e clique em Close (Fechar) para sair da janela VLAN Settings (Configurações de VLAN). A Tabela de configurações de VLAN deve exibir que a VLAN escolhida tem os controles de acesso ARP apropriados.

Histórico de revisões

Revisão	Data de publicação	Comentários
1.0	11-Dec-2018	Versão inicial