3 пример предотвращения подмены arp, nd – Инструкция по эксплуатации QTECH QSW-3400 Руководство администратора

Руководство пользователя

26. Конфигурация защиты от подмены ARP

207

www.qtech.ru

26.3 Пример предотвращения подмены ARP, ND

A

C

B

Коммутатор

Описание оборудования

Оборудование

Конфигурация

Кол-во

switch

IP:192.168.2.4; mac: 00-00-00-00-00-04

1

A

IP:192.168.2.1; mac: 00-00-00-00-00-01

1

B

IP:192.168.1.2; mac: 00-00-00-00-00-02

1

C

IP:192.168.2.3; mac: 00-00-00-00-00-03

несколько

На диаграмме показана нормальная связь между B и C. Хост A хочет, чтобы коммутатор
направлял ему пакеты, отправленные хостом B. В первую очередь А отправляет пакет ARP
ответа на коммутатор в формате: 192.168.2.3, 00-00-00-00-00-01, сопоставляя его MAC
адрес с IP адресом хоста С, коммутатор обновляет ARP список и начинает отправлять
пакеты для 192.168.2.3 на MAC адрес 00-00-00-00-00-01 address (адрес хоста A).

В дальнейшем хост А пересылает принятые пакеты хосту C, меняя адрес источника и
адрес назначения. Так как ARP список своевременно обновляется, еще одной задачей
для хоста А является непрерывная отправка ARP ответов и обновление ARP списка
коммутатора.

Поэтому очень важно защитить ARP список, настроить запрещение ARP обучения в
стабильной среде и затем изменить все динамические ARP записи на статические.
Выученные ARP не будут обновляться и будут защищены.

Switch#config

Switch(config)#interface vlan 1

Switch(Config-If-Vlan1)#arp 192.168.2.1 00-00-00-00-00-01 interface
eth 1/2

Switch(Config-If-Vlan1)#interface vlan 2

Switch(Config-If-Vlan2)#arp 192.168.1.2 00-00-00-00-00-02 interface
eth 1/2