Функция инспекции ARP-пакетов (ARP Inspection) используется для отфильтровывания несанкционированных пакетов ARP. Это позволяет предотвратить многие виды атак.
Когда включается arp inspection, то все порты front-port становятся trusted, а порты pon-port становятся not trusted. Когда ip-arp inspection включается во vlan, то правило начинает действовать для всех портов и в зависимости от того,
доверенный порт или нет, выполняются проверки или не выполняются.
Если нужно что-то фильтровать на front-port'ах, то необходимо выполнить no ip arp inspection trusted и задать правила (нужно так же включить проверку во vlan, так как arp inspection включается глобально и per vlan).
Функция ARP Inspection позволяет как динамически отслеживать соответствие mac адресов и ip-адресов, так и вести статическую таблицу.
Настраивается этот функционал на коммутаторе:
1. Включить ip arp inspection глобально
LTP-4X# switch LTP-4X(switch)# configure LTP-4X(switch)(config)# ip arp inspection LTP-4X(switch)(config)# commit
2. Включить arp inspection в vlan'e (например, vlan 100):
LTP-4X(switch)(config)# vlan 100 LTP-4X(switch)(config-vlan)# ip arp inspection LTP-4X(switch)(config-vlan)# ex LTP-4X(switch)(config)# commit
3. Настроить статическую таблицу, общую для всех vlan:
LTP-4X(switch)(config)# ip arp inspection static-table 10.10.10.10 XX:XX:XX:XX:XX:XX
4. Задать режим trust/untrust для порта свитча:
LTP-4X(switch)(config)# interface front-port 0 (указываете нужный интерфейс) LTP-4X(switch)(config-if)# ip arp inspection trusted
5. Просмотреть arp-таблицу можно таким образом:
LTP-4X(switch)# show ip arp table //динамическая таблица LTP-4X(switch)# show ip arp inspection //полная конфигурация IP | MAC | VID | Interface 192.168.25.8 00:11:22:33:44:55 1010 pon-port 0