Функция контроля протокола ARP (ARP Inspection) предназначена для защиты от атак с использованием протокола ARP (например, ARP-spoofing – перехват ARP-трафика). Контроль протокола ARP осуществляется наосновании таблицы соответствий DHCPsnoopingилистатических соответствий IP- и MAC-адресов, заданных для группы VLAN.
Пример настройки на основании статических соответствий IP- и MAC-адресов.
Включить контроль протокола ARP и добавить в список статическое соответствие IP- и MAC-адресов для соответствующей группы VLAN.
- console(config)# ip arp inspection
- console(config)# ip arp inspection vlan 398
- console(config)# ip arp inspection list create test
- console(config)# ip 192.168.1.34 mac-address 00:11:22:33:44:55
- console(config)# exit
- console(config)# ip arp inspection list assign 398 test
По умолчанию все интерфейсы «недоверенные».
Для того, чтобы добавить интерфейс в список доверенных при использовании контроля протокола ARP, необходимо для интерфейса выполнить команду:
- console(config-if)# ip arp inspection trust
Пример настройки на основании таблицы соответствий DHCPsnooping
Включить контроль протокола ARP и функцию DHCP snooping для соответствующей группы VLAN.
- console(config)# ip dhcp snooping
- console(config)# ip dhcp snooping vlan 1
- console(config)# ip arp inspection
- console(config)# ip arp inspection vlan 1
По умолчанию все интерфейсы «недоверенные». При использовании контроля протокола ARP порт должен быть также «недоверенным» для функции DHCP snooping.
Для того, чтобы добавить интерфейс в список доверенных при использовании контроля протокола ARP и функции DHCP snooping, необходимо для интерфейса выполнить команды:
- console(config-if)# ip arp inspection trust
- console(config-if)# ip dhcp snooping trust