(K) Konfiguracja Dynamic ARP Inspection*
Konfiguracja funkcji Dynamic ARP Inspection
Funkcja DAI współpracuje z funkcją DHCP Snooping. Konfiguracja funkcji DHCP Snooping jest dostępna pod linkiem.
Podstawowa konfiguracja inspekcji ARP
(config)# ip arp inspection vlan VLAN-id
Aktywuje inspekcje ARP na określonych sieciach VLAN.
(config)# ip arp inspection validate [src-mac] [dst-mac] [ip]
Określa jakie adresy będą weryfikowane.
(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# ip arp inspection limit rate 0-2048 burst interval 1-15(sekundy)(1)
Ogranicza ilość zapytań ARP jakie mogą być przesyłane przez określony interfejs sieciowy w ciągu jednej sekundy (Domyślnie), utrudniając tym samym przeprowadzenie ataku DDoS. Opcjonalna pod komenda „brust” zmienia domyślną wartość interwału.
(config-if)# ip arp inspection trust
Określa konfigurowany interfejs sieciowy, jako port zaufany.
Konfiguracja listy statycznych adresów MAC
(config)# arp access-list ACL
Tworzy nową listę przypisującą adresy MAC do adresów IP.
(config-arp-nacl)# permit ip host adres-IP mac host adres-MAC [log]
Przypisuje podany adres MAC do wskazanego adresu IP.
(config)# ip arp inspection filter ACL vlan VLANs-id [static]
Przypisuje statyczną listę ARP ACL do wskazanej sieci VLAN. Dodatkowa pod-komenda „Static” ogranicza bazę danych funkcji DAI do statycznych wpisów, a tym samym dane tablicy DHCP binding nie będą brane pod uwagę.
Konfiguracja komunikatów systemowych inspekcji ARP
(config)# ip arp inspection vlan VLAN-id logging {acl-match {matchlog / none} / arp-probe / dhcp-bindings {all / none/ permit}}
Nadpisuje zakres domyślnie wysyłanych komunikatów systemowych o następujące opcje:
* acl-match – Rozpoczyna rejestracje zapytań ARP pasujących do list ACL.
* arp-probe – Rozpoczyna rejestracje zapytań ARP nie posiadających źródłowego adresu IP.
* dhcp-bindings – Rozpoczyna rejestracje zapytań ARP pasujących do wpisów tablicy „DHCP binding Table”.
(config)# ip arp inspection log-buffer logs 0-1024(5) interval 0-86400(sekundy)(1)
Xxx
(config)# ip arp inspection log-buffer entries 0-1024(32)
Xxx
Domyślna konfiguracja komunikatów systemowych funkcji DAI pozwala na wysyłanie do 32 wpisów (entries), maksymalnie 5 komunikatów na sekundę (Log) w interwale co jedną sekundę (interval). Komendy SHOW
# show ip arp inspection
Wyświetla jakie adresy MAC / IP będą weryfikowane przez funkcję DAI.
# show ip arp inspection statistics vlan vlan-ID
Wyświetla statystyki funkcji DAI.
# show ip arp inspection vlan vlan-ID
Wyświetla konfigurację funkcji DAI względem danej sieci VLAN.
# show ip arp inspection interfaces [interfejs]
Wyświetla konfigurację funkcji DAI względem wszystkich interfejsów.
# show ip arp inspection log
Wyświetla komunikaty systemowe (SmartLog) związane z inspekcją ARP.
Pozostałe artykuły dotyczące bezpieczeństwa warstwy drugiej
- Zagrożenia sieciowe
- Teoria funkcji Port-Security
- Troubleshooting funkcji Port-Security
- Konfiguracja funkcji Port-Security
- Teoria funkcji DHCP Snooping
- Konfiguracja DHCP Snooping
- Teoria Dynamic ARP Inspection
- Konfiguracja Dynamic ARP Inspection
- Funkcja IP Source Guard
- Teoria funkcji Storm Control
- Troubleshooting funkcji Storm Control
- Konfiguracja funkcji Storm Control
- Przywracanie portów po naruszaniu zasad bezpieczeństwa
