300系列托管交换机上的地址解析协议(ARP)访问控制规则配置
目标
地址解析协议(ARP)将设备的IP地址映射到同一设备的MAC地址。ARP检测用于保护网络免受ARP攻击。当数据包到达定义为不受信任的接口(端口/LAG)时,ARP检测会将数据包的IP地址和MAC地址与ARP访问控制规则中先前定义的IP地址和MAC地址进行比较。如果地址匹配,则数据包被视为有效并被转发。本文介绍如何创建ARP访问控制组、如何向ARP访问控制组添加规则,以及如何将ARP访问控制组配置到SF/SG 300系列托管交换机上的VLAN。
要针对ARP攻击创建保护,必须执行以下几个步骤:
·必须在交换机上启用ARP检测。 有关帮助,请参阅300系列托管交换机上的地址解析协议(ARP)检测属性配置文章。
· ARP检测只能对被视为不可信的接口执行。要将接口配置为受信任或不受信任,请参阅300系列托管交换机上的地址解析协议(ARP)检测属性配置文章。
·创建ARP访问控制组。ARP访问控制组是允许在不受信任接口上访问的不同设备的IP地址和MAC地址的列表。
·要向ARP访问控制组添加其他设备,必须创建其他ARP访问控制规则。
·将ARP访问控制组分配给VLAN。但是,您只能为每个VLAN配置一个ARP访问控制组。
适用设备
· SF/SG 300系列托管交换机
软件版本
•1.3.0.62
ARP访问控制配置
创建ARP访问控制组
步骤1.登录到Web配置实用程序,然后选择Security > ARP Inspection > ARP Access Control。ARP Access Control(ARP访问控制)页打开:
步骤2.单击“添加”。系统将显示Add ARP Access Control窗口。
步骤3.在ARP Access Control Name字段中输入访问控制组的所需名称。
步骤4.在IP Address字段中输入要分配给访问控制的IP地址。
步骤5.在MAC Address字段中输入要分配给访问控制的MAC地址。
注意:IP地址和MAC地址应指代同一设备。 这是交换机验证设备是否可信的方式。
步骤6.单击Apply应用更改,然后单击Close退出Add ARP Access Control Name窗口。
添加ARP访问控制规则
注意:您必须拥有ARP访问控制组才能添加ARP访问控制规则。如果您尚未完成上一节,请完成。
步骤1.登录到Web配置实用程序,然后选择Security > ARP Inspection > ARP control rules。系统将打开“ARP访问控制规则”页:
注意:如果您有许多ARP访问控制名称,请使用过滤器功能过滤掉不需要的ARP访问控制名称。
步骤2.单击“添加”。系统将显示Add ARP Access Control Rules窗口。
步骤3.从ARP Access Control Name下拉列表中,选择访问控制名称以向其添加其他规则。
步骤4.在IP Address字段中输入要分配给访问控制的IP地址。
步骤5.在MAC Address字段中输入要分配给访问控制的MAC地址。
注意:输入的地址对应是要添加到访问控制组的新设备。
步骤6.单击Apply应用更改,然后单击Close退出Add ARP Access Control Name窗口。
配置VLAN的ARP访问控制
注意:每个VLAN只能添加一个ARP访问控制组。 使用ARP访问控制规则将多台设备添加到ARP访问控制组,然后将该组配置到VLAN。
步骤1.登录到Web配置实用程序,然后选择Security > ARP Inspection > VLAN Settings。“VLAN设置”页打开:
步骤2.在Available VLANs字段中,单击要向其添加ARP访问控制组的VLAN,然后单击> 按钮将其移至Enabled VLANs字段。
步骤3.单击Apply启用VLAN并允许添加ARP访问控制。
步骤4.单击Add将ARP访问控制添加到VLAN。 系统将显示“VLAN设置”窗口。
步骤5.从VLAN下拉列表中选择VLAN。
步骤6.从ARP Access Control Name下拉列表中选择要应用到该VLAN的ARP Access Control Name。
步骤7.单击Apply应用更改,然后单击Close退出VLAN Settings窗口。VLAN设置表应显示您选择的VLAN具有相应的ARP访问控制。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
11-Dec-2018 |
初始版本 |
反馈