300系列托管交换机上的地址解析协议(ARP)检测属性配置
目标
地址解析协议(ARP)用于将IP地址映射到MAC地址。ARP检测用于保护网络免受ARP攻击。ARP检测通过检测接口设置页面上定义为不受信任的接口上的数据包来提高流量安全性。 当数据包到达不受信任的接口时,ARP检查会查看数据包的源IP地址和MAC地址。 如果它们与ARP访问控制规则中找到的IP地址和MAC地址匹配,则转发数据包,否则丢弃数据包。
本文介绍如何在300系列托管交换机上配置ARP检测。
适用设备
· SF/SG 300系列托管交换机
软件版本
•1.3.0.62
属性
步骤1.登录到Web配置实用程序,然后选择Security > ARP Inspection > Properties。“属性”页打开:
步骤2.选中ARP Inspection Status字段中的Enable复选框以启用ARP检测。
第3步。(可选)选中ARP数据包验证(ARP Packet Validation)字段中的启用(Enable)复选框,以启用以下验证。记录并丢弃被ARP检测视为无效的数据包。
·源MAC — 将数据包的源MAC地址与ARP请求中发送方的MAC地址进行比较。对ARP请求和ARP响应执行此检查。
·目的MAC — 将数据包的目的MAC地址与接口的目的MAC地址进行比较。此检查仅对ARP响应执行。
· IP地址 — 比较ARP正文中的无效IP地址。这些地址包括0.0.0.0、255.255.255.255和所有IP组播地址。
步骤4.点击与Log Buffer Interval字段中所需选项对应的单选按钮。 如果ARP检测找不到传入数据包的源IP地址,则丢弃该数据包并发送SYSLOG消息。日志缓冲区间隔是SYSLOG消息之间的时间量。
·重试频率 — 输入定义发送SYSLOG丢弃的数据包消息的频率(以秒为单位)的值。
·从不 — 禁用SYSLOG丢弃的数据包消息。
步骤5.单击“应用”保存更改,或单击“取消”撤消更改。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
11-Dec-2018 |
初始版本 |
反馈