Конфигурирование dai – Инструкция по эксплуатации ZTE ZXR10 3900E series
Страница 233
Глава 14 Конфигурация IPTV
Собственность корпорации ZTE. Конфиденциально. 141
отправляет свободный ARP на А для информирования, что IP
соответствующего МАС-адреса В был обновлен до того, что у
С, поток из А в В напрямую переадресовывается в С; На
основе того же принципа поток с В на А может
переадресовываться в С. После выполнения злонамеренного
сканирования пакета, С изменяет целевой адрес в качестве
реального МАС-адреса В или С и возвращает пакет на
коммутатор. Поток между А и В может нормально
переадресовываться и не восприниматься. Таким образом, С
выполняет атаку человека посередине.
Для предотвращения данной ошибки следует проверять все
пакеты ARP. Те, которые соответствуют квалификации,
переадресовываются ПО. Пакеты ARP, которые не проходят
проверку, будут отброшены.
На основе данного требования добавлены следующие методы,
предотвращающие обычные атаки ARP.
1. Относительно ненадежного интерфейса DAI блокирует все
пакеты ARP и отправляет их в ПО верхнего слоя для
проверки.
2. Скорость, с которой пакеты ARP отправляются в ЦП,
конфигурируется.
3. Если включена DHCP SNOOPING, то проверяется
соответствующая связь laye 2 IP ,MAC и порта.
Нелегальный пользователь будет отброшен.
DAI определяет пакеты ARP в соответствии с отношением
привязки между IP и MAC-адресом, хранимых в надежной
базе данных. Если DHCP SNOOPING VLAN открыта, то база
данных создается DHCP SNOOPING. Если пакет ARP
получается из надежного порта, коммутатору не нужна
никакая проверка и он переадресует пакет сразу. Если
пакет ARP получается из ненадежного порта, коммутатор
переадресовывает только действительные пакеты.
Конфигурирование DAI
Шаг
Команда
Функция
1
Zxr10(config-fei_1/x)#
ip arp
inspection trust
Конфигурация
атрибута надежности
интерфейса.
2
Zxr10 (config-smartgroupX)#
ip arp
inspection trust
Конфигурация
атрибута надежности
интерфейса
Smartgroup.
3
Zxr10(config)#
ip arp inspection
validate { [ des-mac] [ ip] [ src-
mac] }
Конфигурация
функции глобальной
проверки
действительности ARP.