Функция контроля протокола ARP (ARP Inspection) предназначена для защиты от атак с использованием протокола ARP (например, ARP-spoofing – перехват ARP-трафика). Контроль протокола ARP осуществляется наосновании таблицы соответствий DHCPsnooping или статических соответствий IP- и MAC-адресов, заданных для группы VLAN.
Пример настройки на основании статических соответствий IP- и MAC-адресов.
Включить контроль протокола ARP и добавить в список статическое соответствие IP- и MAC-адресов для соответствующей группы VLAN.
console(config)# ip arp inspection enable
console(config)# ip arp inspection vlan 398
По умолчанию все интерфейсы «недоверенные».
Для того, чтобы добавить интерфейс в список доверенных при использовании контроля протокола ARP, необходимо для интерфейса выполнить команду:
- console(config-if)#
port-security-state trusted - console(config-if)#
set port-role uplink
Пример настройки на основании таблицы соответствий DHCP snooping
Включить контроль протокола ARP и функцию DHCP snooping для соответствующей группы VLAN.
console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan 398
console(config)# ip arp inspection
console(config)# ip arp inspection vlan 398
На порт, за которым находится DHCP-север необходимо ввести настройку:console(config-if)# set port-role uplinkconsole(config-if)# port-security-state trusted
Если не используется DHCP-сервер, таблицу соответствий необходимо заполнить статически:
Для порта gi 0/10 IP-адрес клиента – 192.168.2.10, его MAC-адрес – 00:11:22:33:44:55
console(config)# ip source binding 00:11:22:33:44:55 vlan 398 192.168.2.10 interface gigabitethernet 0/10