Функция инспекции ARP-пакетов (ARP Inspection) используется для отфильтровывания несанкционированных пакетов ARP. Это позволяет предотвратить многие виды атак.
Когда включается arp inspection, то все порты front-port становятся trusted, а порты pon-port становятся not trusted. Когда ip-arp inspection включается во vlan, то правило начинает действовать для всех портов и в зависимости от того,
доверенный порт или нет, выполняются проверки или не выполняются.
Если нужно что-то фильтровать на front-port'ах, то необходимо выполнить no ip arp inspection trusted и задать правила (нужно так же включить проверку во vlan, так как arp inspection включается глобально и per vlan).
Функция ARP Inspection позволяет как динамически отслеживать соответствие mac адресов и ip-адресов, так и вести статическую таблицу.
Настраивается этот функционал на коммутаторе:
1. Включить ip arp inspection глобально
- LTP-4X# switch
- LTP-4X(switch)# configure
- LTP-4X(switch)(config)# ip arp inspection
- LTP-4X(switch)(config)# commit
2. Включить arp inspection в vlan'e (например, vlan 100):
- LTP-4X(switch)(config)# vlan 100
- LTP-4X(switch)(config-vlan)# ip arp inspection
- LTP-4X(switch)(config-vlan)# ex
- LTP-4X(switch)(config)# commit
3. Настроить статическую таблицу, общую для всех vlan:
- LTP-4X(switch)(config)# ip arp inspection static-table 10.10.10.10 XX:XX:XX:XX:XX:XX
4. Задать режим trust/untrust для порта свитча:
- LTP-4X(switch)(config)# interface front-port 0 (указываете нужный интерфейс)
- LTP-4X(switch)(config-if)# ip arp inspection trusted
5. Просмотреть arp-таблицу можно таким образом:
- LTP-4X(switch)# show ip arp table //динамическая таблица
- LTP-4X(switch)# show ip arp inspection //полная конфигурация
IP | MAC | VID | Interface
192.168.25.8 00:11:22:33:44:55 1010 pon-port 0