地址解析协议(ARP)用于将IP地址解析为目的MAC地址。此操作在OSI模型的第2层运行。它使用查找表(ARP缓存)存储IP地址到MAC地址的映射。ARP检测用于防止ARP缓存毒化。ARP缓存毒化可能导致未经授权的用户控制和拦截网络流量。
本文介绍如何在ESW2-350G交换机上配置ARP检测配置。
· ESW2-350G
· ESW2-350G-DC
•v1.2.6.28
步骤1.登录到Web配置实用程序,然后选择Security > ARP Inspection > Properties。“属性”页打开:
步骤2.在“ARP检测状态”字段中,选中启用以启用ARP检测功能。默认情况下禁用此功能。
注意:ARP检测仅在不受信任的接口上执行。来自受信任接口的数据包被转发。
步骤3.在ARP数据包验证(ARP Packet Validation)字段中,选中启用(Enable)以在ARP中启用数据包验证。默认情况下禁用此功能。如果选中此字段,则会将以下值与现有数据库进行比较,以防止外部攻击:
·源MAC — 将以太网报头中数据包的源MAC地址与ARP请求中发送方的MAC地址进行比较。此检查对ARP请求和响应都执行。
·目的MAC — 将以太网报头中数据包的目的MAC地址与目的接口的MAC地址进行比较。仅对ARP响应执行此检查。
· IP地址 — 这会比较ARP数据内容中无效和意外的IP地址。IP地址包括0.0.0.0、255.255.255.255和所有IP组播地址。
注意:ARP检测还使用DHCP监听绑定数据库(如果启用了DHCP监听)来除检查数据包的访问控制规则外,还对数据包的IP地址进行计数。有关详细信息,请参阅ESW2-350G交换机上的DHCP监听绑定数据库配置文章。
步骤4.在Log Buffer Interval字段中,单击以下单选按钮之一:
·重试频率 — 为丢弃的数据包启用发送SYSLOG消息。输入消息的发送频率。默认频率为5秒。超时的范围是从 0 到 86400 秒。
·从不 — 禁用SYSLOG丢弃的数据包消息。
步骤5.单击Apply进行更改。定义设置并更新运行配置文件。