Общая информация

Функционал ARP Inspection предназначен для защиты от атак с использованием протокола ARP (например, ARP-spoofing — перехват ARP-трафика). Контроль протокола ARP осуществляется на основе соответствий IP- и MAC-адресов, зафиксированных следующими способами:

  1. Динамически на основе информации, проходящей через OLT, и зафиксированной в таблице DHCP snooping
  2. Заданных статически в конфигурации. 

Для обеспечения работы ARP Inspection в динамическом режиме должен быть включен DHCP snooping.

Схема подключения

 

Базовая конфигурация

Минимальная базовая конфигурация для настройки данного функционала должна включать настройки параметров управления, настройки DHCP snooping, а также настройки, необходимые для регистрации ONT.

LTP-N 
configure terminal
    management ip 10.10.0.4
    management mask 255.255.0.0
    management gateway 10.10.0.1
    management vid 100
    profile cross-connect Internet
        outer vid 999
    exit
    ip dhcp
        snooping enable vlan 1-4094
    exit
    interface ont 1/1
        serial ELTX12345678
        service 1 profile cross-connect "Internet" dba "dba1"
    exit
    interface front-port 1
        vlan allow 100,999
    exit
commit
exit
Пояснение 
Переход в режим конфигурирования OLT
Указание адреса управления
Указание маски подсети управления
Указание шлюза по умолчанию
Указание VLAN-управления
Переход в режим конфигурирования сервисного профиля cross-connect "Internet"
Указание сервисного vlan 999
Выход из режима конфигурирования сервисного профиля cross-connect "Internet"
Переход в режим настройки DHCP Snooping
Включение DHCP Snooping во всех VLAN (может быть включен только в необходимых VLAN)
Выход из режима настройки DHCP Snooping
Переход в режим конфигурирования интерфейса ont 1/1 (pon-port 1 / ont id 1)
Указание PON serial ONT
Назначение сервисного профиля cross-connect "Internet" на ONT
Выход из режима конфигурирования интерфейса ont 1/1
Переход в режим конфигурирования uplink-интерфейса front-port 1
Указание VLAN 100 (management), 999 (Internet) в режиме tagged на uplink-интерфейсе
Выход из режима конфигурирования front-port 1
Применение конфигурации
Выход из CLI

Если приведенная конфигурация загружается на OLT из файла по протоколам FTP/TFTP/HTTP, выполнение сохранения конфигурации в энергонезависимую память произойдет автоматически.

Если конфигурация применяется путем вставки приведенных команд в CLI, необходимо дополнительно выполнить команду save.

При изменении сетевых настроек устройства убедитесь в корректности применяемой конфигурации во избежание потери удаленного доступа до устройства.

Настройка ARP Inspection

LTP-N 
LTP-16N# configure terminal
LTP-16N(configure)# ip arp-inspection enable
LTP-16N(configure)# ip arp-inspection enable vlan 999
LTP-16N(configure)# ip arp-inspection bind ip 172.16.10.100 mac AB:AB:AB:AB:AB:AB interface-ont 1/1 service 1
LTP-16N(configure)# exit
LTP-16N# commit
LTP-16N# save
Пояснение 
Переход в режим конфигурирования OLT
Включение ARP Inspection во всех VLAN
Опционально: вместо глобального включения ARP Inspection можно включить его в отдельном VLAN
Опционально: формирование статической записи IP+MAC+ONT+Номер сервиса
Выход из режима конфигурирования OLT
Применение выполненных изменений
Сохранение изменений в энергонезависимую память
  • Нет меток