SX500系列堆叠式交换机上的地址解析协议(ARP)检测属性配置

目标

地址解析协议(ARP)在OSI模型的第2层（数据链路层）运行，并使用查找表（也称为ARP缓存）提供将IP地址映射到目的主机MAC地址的转换。 

建立ARP检查以防止ARP缓存中毒，如果成功，恶意第三方可以拦截和控制网络流量。本文档的目标是在Sx500系列堆叠式交换机上设置ARP检测属性。

要使ARP检测正常运行，需要按照如下所示的相同顺序完成以下配置：

1. ARP检测属性，本文将介绍。
2.配置接口设置，请参阅Sx500系列堆叠式交换机上的地址解析协议(ARP)检测接口设置文章，了解此配置。
3.配置访问控制和访问控制规则，请参阅Sx500系列堆叠式交换机上ARP访问控制和访问控制规则的配置文章。
4.配置VLAN设置，请参阅Sx500系列堆叠式交换机上的地址解析协议(ARP)检查VLAN设置配置文章，了解此配置。

适用设备

• SX500系列堆叠式交换机

软件版本

• 1.3.0.62

ARP检测属性

步骤1.登录到Web配置实用程序，然后选择Security > ARP Inspection > Properties。“属性”页打开：

步骤2.在ARP检测状态字段中，选中启用以启用ARP检测功能。默认情况下禁用此功能。

注意：ARP检测将仅在不受信任的接口上执行。来自受信任接口的数据包被转发。可以在“接口设置”(Interface Settings)页面上配置受信任接口。

步骤3.在ARP数据包验证(ARP Packet Validation)字段中，选中启用(Enable)以在ARP中启用数据包验证。此功能默认禁用。如果选中此字段，将与现有数据库比较以下值以防止外部攻击：

• 源MAC — 将以太网报头中数据包的源MAC地址与ARP请求中发送方的MAC地址进行比较。此检查对ARP请求和响应都执行。
• 目的MAC — 将以太网报头中数据包的目的MAC地址与目的接口的MAC地址进行比较。仅对ARP响应执行此检查。
• IP地址 — 这会比较ARP数据内容中无效和意外的IP地址。IP地址包括0.0.0.0、255.255.255.255和所有IP组播地址。

此外，如果启用了DHCP监听，ARP检测使用DHCP监听绑定数据库来除检查数据包的访问控制规则外还对数据包的IP地址进行计数。有关DHCP监听绑定数据库配置的详细信息，请参阅Sx500系列可堆叠交换机上的“DHCP监听绑定数据库配置”文章。单击“属性”页顶部的“DHCP监听绑定数据库”链接，可以转到“DHCP监听绑定数据库”配置页。

步骤4.在Log Buffer Interval字段中，单击以下单选按钮之一：

• Retry Frequency — 为要发送的已丢弃数据包启用SYSLOG消息。输入消息的发送频率。默认频率为5秒。超时的范围是从 0 到 86400 秒。
• 从不 — 禁用SYSLOG丢弃的数据包消息。

步骤5.单击Apply进行更改。定义设置并更新运行配置文件。