Configurazione delle proprietà di ispezione Address Resolution Protocol (ARP) sugli switch serie Sx500 impilabili

Opzioni per il download

  • PDF     (191.1 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (164.8 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (258.2 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:11 dicembre 2018
ID documento:SMB2547

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Configurazione delle proprietà di ispezione Address Resolution Protocol (ARP) sugli switch serie Sx500 impilabili

Obiettivo

Il protocollo ARP (Address Resolution Protocol) funziona sul layer 2, il livello di collegamento dati, del modello OSI e fornisce il mapping di conversione tra l'indirizzo IP e l'indirizzo MAC dell'host di destinazione utilizzando una tabella di ricerca nota anche come cache ARP. 

L'ispezione ARP è stabilita per prevenire l'avvelenamento della cache ARP, che se viene eseguita correttamente può consentire a una terza parte malintenzionata di intercettare e controllare il traffico di rete. Lo scopo di questo documento è configurare ARP Inspection Properties sugli switch impilabili serie Sx500.

Affinché l'ispezione ARP funzioni correttamente, è necessario completare le seguenti configurazioni nell'ordine indicato di seguito:

1. ARP Inspection Properties, illustrato in questo articolo.
2. Configurare le impostazioni dell'interfaccia, fare riferimento all'articolo Address Resolution Protocol (ARP) Inspection Interface Settings sugli switch impilabili serie Sx500 per questa configurazione.
3. Configurare le regole di controllo d'accesso e di controllo d'accesso , fare riferimento all'articolo Configurazione delle regole di controllo d'accesso e di controllo d'accesso ARP sugli switch impilabili serie Sx500 per questa configurazione.
4. Configurare le impostazioni VLAN. Per questa configurazione, consultare l'articolo Configurazione delle impostazioni VLAN di ispezione del protocollo ARP sugli switch impilabili serie Sx500.

Dispositivi interessati

  • Serie Sx500 Stackable Switch

Versione del software

  • 1.3.0.62

Proprietà ispezione ARP

Passaggio 1. Accedere all'utility di configurazione Web e scegliere Protezione > Ispezione ARP > Proprietà. Viene visualizzata la pagina Proprietà:

Passaggio 2. Nel campo Stato ispezione ARP, selezionare Abilita per abilitare la funzione di ispezione ARP. Questa funzione è disabilitata per impostazione predefinita.

Nota: L'ispezione ARP verrà eseguita solo su interfacce non attendibili. I pacchetti provenienti da interfacce attendibili vengono inoltrati. È possibile configurare le interfacce trusted nella pagina Impostazioni interfaccia.

Passaggio 3. Nel campo Convalida pacchetto ARP, selezionare Abilita per abilitare la convalida del pacchetto in ARP. Questa funzione è disabilitata per impostazione predefinita. Se questo campo è selezionato, i valori seguenti verranno confrontati con i database esistenti per impedire attacchi esterni:

  • MAC di origine — L'indirizzo MAC di origine del pacchetto nell'intestazione Ethernet viene confrontato con l'indirizzo MAC del mittente nella richiesta ARP. Questo controllo viene eseguito sia sulle richieste che sulle risposte ARP.
  • MAC di destinazione: l'indirizzo MAC di destinazione del pacchetto nell'intestazione Ethernet viene confrontato con l'indirizzo MAC dell'interfaccia di destinazione. Questo controllo viene eseguito solo per le risposte ARP.
  • Indirizzi IP — confronta il contenuto dei dati ARP con indirizzi IP non validi e imprevisti. Gli indirizzi IP includono 0.0.0.0, 255.255.255.255 e tutti gli indirizzi multicast IP.

Inoltre, l'ispezione ARP utilizza un database di binding dello snooping DHCP se lo snooping DHCP è abilitato per controllare l'indirizzo IP del pacchetto oltre alle relative regole di controllo di accesso. Per ulteriori informazioni sulla configurazione del database di binding dello snooping DHCP sugli switch impilabili serie Sx500, consultare l'articolo Configurazione del database di binding dello snooping DHCP. Potrebbe essere possibile accedere alla pagina di configurazione del database DHCP Snooping Binding facendo clic sul collegamento al database DHCP Snooping Binding nella parte superiore della pagina Proprietà.

Passaggio 4. Nel campo Intervallo buffer di log, fare clic su uno dei seguenti pulsanti di opzione:

  • Frequenza tentativi: abilita l'invio dei messaggi SYSLOG per i pacchetti ignorati. Immettere la frequenza di invio dei messaggi. La frequenza predefinita è 5 secondi. L'intervallo è compreso tra 0 e 86400 secondi.
  • Mai — disabilita i messaggi di pacchetto ignorati da SYSLOG.

Passaggio 5. Fare clic su Apply (Applica) per apportare le modifiche. Le impostazioni vengono definite e il file di configurazione in esecuzione viene aggiornato.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci