Sx500系列堆疊式交換機上的地址解析協定(ARP)檢查屬性配置

目標

地址解析協定(ARP)在OSI模型的資料鏈路層第2層運行，它使用也稱為ARP快取的查詢表，提供將IP地址對映到目的主機的MAC地址的轉換。 

ARP檢測旨在防止ARP快取中毒，如果成功，惡意第三方就可以攔截和控制網路流量。本文檔的目標是在Sx500系列可堆疊交換機上設定ARP檢查屬性。

要使ARP檢查正常工作，需要按以下順序完成以下配置：

1.ARP檢查屬性，這將在本文中介紹。
2.配置介面設定，有關此配置，請參閱Sx500系列堆疊式交換機上的地址解析協定(ARP)檢測介面設定一文。
3.配置訪問控制和訪問控制規則，有關此配置，請參閱在Sx500系列堆疊式交換機上配置ARP訪問控制和訪問控制規則一文。
4.配置VLAN設定，有關此配置，請參閱Sx500系列堆疊式交換機上的地址解析協定(ARP)檢測VLAN設定配置一文

適用裝置

• Sx500系列堆疊式交換器

軟體版本

• 1.3.0.62

ARP檢查屬性

步驟1.登入到Web配置實用程式，然後選擇Security > ARP Inspection > Properties。Properties頁面隨即開啟：

步驟2.在ARP檢查狀態欄位中，選中Enable以啟用ARP檢查功能。預設情況下禁用此功能。

附註：ARP檢測將僅在不受信任的介面上執行。來自可信介面的資料包將被轉發。您可以在Interface Settings頁面上配置受信任的介面。

步驟3.在ARP Packet Validation欄位中，選中Enable以啟用ARP中的資料包驗證。預設情況下禁用此功能。如果選中此欄位，則會將以下值與現有資料庫進行比較，以防止外部攻擊：

• 來源MAC — 將乙太網路標頭中封包的來源MAC位址與ARP要求中傳送者的MAC位址進行比較。對ARP請求和響應執行此檢查。
• 目的MAC — 將乙太網報頭中資料包的目的MAC地址與目的介面的MAC地址進行比較。此檢查僅針對ARP響應執行。
• IP地址 — 這將比較ARP資料內容中的無效和意外的IP地址。IP地址包括0.0.0.0、255.255.255和所有IP組播地址。

此外，如果啟用DHCP監聽，則ARP檢查會使用DHCP監聽繫結資料庫，以計數器檢查資料包的IP地址及其訪問控制規則。有關配置DHCP窺探繫結資料庫的詳細資訊，請參閱標題為DHCP窺探繫結資料庫在Sx500系列堆疊式交換機上的配置文章。通過按一下「屬性」頁頂部的「DHCP監聽繫結資料庫」連結，可以轉至「DHCP監聽繫結資料庫」配置頁。

步驟4.在Log Buffer Interval欄位中，按一下以下單選按鈕之一：

• 重試頻率 — 允許傳送丟棄資料包的SYSLOG消息。輸入消息的傳送頻率。預設頻率為5秒。範圍是從0到86400秒。
• 從不 — 禁用SYSLOG丟棄的資料包消息。

步驟5.按一下Apply 以進行變更。定義設定並更新運行配置檔案。