Configuration des propriétés d'inspection ARP (Address Resolution Protocol) sur les commutateurs empilables de la gamme Sx500

Options de téléchargement

PDF (191.1 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (166.6 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (258.8 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:11 décembre 2018

ID du document:SMB2547

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Configuration des propriétés d'inspection ARP (Address Resolution Protocol) sur les commutateurs empilables de la gamme Sx500

Objectif

Le protocole ARP (Address Resolution Protocol) fonctionne au niveau de la couche 2, la couche liaison de données, du modèle OSI et fournit la traduction mappant l’adresse IP à l’adresse MAC de l’hôte de destination à l’aide d’une table de recherche également appelée cache ARP.

L'inspection ARP est établie pour empêcher l'empoisonnement du cache ARP, ce qui, si cela fonctionne, peut permettre à un tiers malveillant d'intercepter et de contrôler le trafic réseau. L'objectif de ce document est de configurer les propriétés d'inspection ARP sur les commutateurs empilables de la gamme Sx500.

Pour que l'inspection ARP fonctionne correctement, les configurations suivantes doivent être effectuées dans le même ordre que celui indiqué ci-dessous :

1. Propriétés de l'inspection ARP, qui est traitée dans cet article.
2. Configurer les paramètres d'interface, reportez-vous à l'article Paramètres d'interface d'inspection ARP (Address Resolution Protocol) sur les commutateurs empilables de la gamme Sx500 pour cette configuration.
3. Configurez les règles de contrôle d'accès et de contrôle d'accès , reportez-vous à l'article Configuration des règles de contrôle d'accès et de contrôle d'accès ARP sur les commutateurs empilables de la gamme Sx500 pour cette configuration.
4. Configurer les paramètres VLAN, reportez-vous à l'article Configuration des paramètres VLAN d'inspection ARP (Address Resolution Protocol) sur les commutateurs empilables de la gamme Sx500 pour cette configuration

Périphériques pertinents

Commutateurs empilables Sx500

Version du logiciel

1.3.0.62

Propriétés d'inspection ARP

Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Security > ARP Inspection > Properties. La page Propriétés s'ouvre :

Étape 2. Dans le champ ARP Inspection Status, cochez la case Enable pour activer la fonction d'inspection ARP. Cette fonction est désactivée par défaut.

Note: L'inspection ARP sera effectuée uniquement sur les interfaces non fiables. Les paquets des interfaces de confiance sont transférés. Vous pouvez configurer des interfaces de confiance sur la page Paramètres d'interface.

Étape 3. Dans le champ ARP Packet Validation, cochez Enable pour activer la validation de paquet dans ARP. Cette fonction est désactivée par défaut. Si ce champ est coché, les valeurs suivantes seront comparées aux bases de données existantes pour empêcher les attaques externes :

Source MAC : l'adresse MAC source du paquet dans l'en-tête Ethernet est comparée à l'adresse MAC de l'expéditeur dans la requête ARP. Cette vérification est effectuée sur les requêtes et les réponses ARP.
Destination MAC : l'adresse MAC de destination du paquet dans l'en-tête Ethernet est comparée à l'adresse MAC de l'interface de destination. Cette vérification est effectuée uniquement pour les réponses ARP.
Adresses IP : compare le contenu des données ARP pour les adresses IP incorrectes et inattendues. Les adresses IP comprennent 0.0.0.0, 255.255.255.255 et toutes les adresses de multidiffusion IP.

En outre, l'inspection ARP utilise une base de données de liaison de surveillance DHCP si la surveillance DHCP est activée pour contrer la vérification de l'adresse IP du paquet en plus de ses règles de contrôle d'accès. Reportez-vous à l'article intitulé Configuration de la base de données de liaison de surveillance DHCP sur les commutateurs empilables de la gamme Sx500 pour plus d'informations sur la configuration de la base de données de liaison de surveillance DHCP. Vous pouvez accéder à la page de configuration de la base de données DHCP Snooping Binding en cliquant sur le lien de la base de données DHCP Snooping Binding en haut de la page Propriétés.

Étape 4. Dans le champ Log Buffer Interval, cliquez sur l'une des cases d'option suivantes :

Retry Frequency : active les messages SYSLOG pour les paquets abandonnés à envoyer. Saisissez la fréquence d'envoi des messages. La fréquence par défaut est de 5 secondes. La plage est comprise entre 0 et 86 400 secondes.
Jamais : désactive les messages de paquet supprimés SYSLOG.

Étape 5. Cliquez sur Apply pour apporter les modifications. Les paramètres sont définis et le fichier de configuration en cours est mis à jour.

Ce document vous est-il utile?

Commentaires

Contacter Cisco

Ouvrir un dossier d’assistance
(Un contrat de service de Cisco est requis)