300系列託管交換器上的位址解析通訊協定(ARP)存取控制規則組態
目標
位址解析通訊協定(ARP)將裝置的IP位址對應到同一裝置的MAC位址。ARP檢測用於保護網路免受ARP攻擊。當資料包到達定義為不可信的介面(埠/LAG)時,ARP檢查會將資料包的IP地址和MAC地址與先前在ARP訪問控制規則中定義的IP地址和MAC地址進行比較。如果地址匹配,則資料包將被視為有效並轉發。本文說明如何建立ARP訪問控制組,如何向ARP訪問控制組新增規則,以及如何將ARP訪問控制組配置到SF/SG 300系列託管交換機上的VLAN。
要建立對ARP攻擊的保護,您必須執行幾個步驟:
·必須在交換機上啟用ARP檢測。 如需幫助,請參閱300系列託管交換器上的位址解析通訊協定(ARP)檢查屬性組態一文。
· ARP檢測只能在視為不可信的介面上執行。要將介面配置為受信任或不受信任,請參閱300系列託管交換機上的地址解析協定(ARP)檢測屬性配置一文。
· 建立ARP訪問控制組。ARP訪問控制組是不受信任介面上允許訪問的不同裝置的IP地址和MAC地址清單。
·要向ARP訪問控制組新增其他裝置,您必須建立其他ARP訪問控制規則。
· 將ARP訪問控制組分配給VLAN。但是,每個VLAN只能配置一個ARP訪問控制組。
適用裝置
· SF/SG 300系列託管交換器
軟體版本
•1.3.0.62
ARP訪問控制配置
建立ARP訪問控制組
步驟1.登入到Web配置實用程式,然後選擇Security > ARP Inspection > ARP Access Control。ARP Access Control頁面隨即開啟:
步驟2.按一下Add。出現Add ARP Access Control視窗。
步驟3.在ARP Access Control Name欄位中輸入訪問控制組的所需名稱。
步驟4.在「IP地址」欄位中輸入要分配給訪問控制的IP地址。
步驟5.在「MAC地址」欄位中輸入要分配給訪問控制的MAC地址。
附註:IP地址和MAC地址應指同一裝置。 這是交換機驗證裝置是否受信任的方式。
步驟6.按一下Apply應用更改,然後按一下Close退出Add ARP Access Control Name視窗。
新增ARP訪問控制規則
附註:您必須具有ARP訪問控制組才能新增ARP訪問控制規則。如果您尚未完成上一部分,請完成它。
步驟1.登入到Web配置實用程式,然後選擇Security > ARP Inspection > ARP control rules。將開啟ARP Access Control Rules頁面:
附註:如果您有多個ARP訪問控制名稱,請使用Filter功能過濾掉不需要的ARP訪問控制名稱。
步驟2.按一下Add。系統將顯示Add ARP Access Control Rules視窗。
步驟3.從ARP Access Control Name(ARP訪問控制名稱)下拉選單中選擇一個訪問控制名稱,以將其他規則新增到。
步驟4.在「IP地址」欄位中輸入要分配給訪問控制的IP地址。
步驟5.在「MAC地址」欄位中輸入要分配給訪問控制的MAC地址。
附註:輸入的地址對應該屬於要新增到訪問控制組的新裝置。
步驟6.按一下Apply應用更改,然後按一下Close退出Add ARP Access Control Name視窗。
將ARP訪問控制配置到VLAN
附註:每個VLAN只能新增一個ARP訪問控制組。 使用ARP訪問控制規則將多個裝置新增到ARP訪問控制組,然後將該組配置為VLAN。
步驟1.登入到Web配置實用程式,然後選擇Security > ARP Inspection > VLAN Settings。VLAN Settings頁面開啟:
步驟2.在Available VLAN欄位中,按一下要向其新增ARP訪問控制組的VLAN,然後按一下> 按鈕將其移到Enabled VLAN欄位。
步驟3.按一下Apply以啟用VLAN並允許新增ARP訪問控制。
步驟4.按一下Add將ARP訪問控制新增到VLAN。 出現「VLAN Settings」視窗。
步驟5.從VLAN下拉式清單中選擇VLAN。
步驟6.從ARP Access Control Name下拉選單中選擇要應用於該VLAN的ARP訪問控制名稱。
步驟7.按一下Apply 以應用變更,然後按一下Close以退出VLAN設定視窗。VLAN設定表應顯示您選擇的VLAN具有適當的ARP訪問控制。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
11-Dec-2018 |
初始版本 |
意見