на примере коммутатора DGS-1250-28X/RU
Протокол ARP (Address Resolution Protocol) был разработан в эпоху, когда локальные сети считались доверенной средой. Он не предусматривает аутентификации или шифрования: любое устройство может отправить ARP-ответ и «перенаправить» трафик на себя. Именно этой особенностью активно пользуются злоумышленники для атак типа ARP-spoofing/poisoning, приводящих к перехвату данных, подмене шлюза по умолчанию или отказу в обслуживании (DoS).
ARP-запросы не считаются корректными и отбрасываются при следующих условиях:
- если MAC-адрес источника в заголовке Ethernet-кадра не совпадает с MAC-адресом отправителя в заголовке ARP-пакета;
- если IP-адрес отправителя в заголовке ARP-пакета представлен в виде 0.0.0.0 или является IP-адресом многоадресной или широковещательной рассылки.
ARP-ответы не считаются корректными и отбрасываются при следующих условиях:
- если MAC-адрес источника в заголовке Ethernet-кадра не совпадает с MAC-адресом отправителя в заголовке ARP-пакета;
- если MAC-адрес получателя в заголовке ARP-пакета представлен в виде 00:00:00:00:00:00 или является IP-адресом многоадресной рассылки;
- если MAC-адрес получателя в заголовке ARP-пакета не совпадает с MAC-адресом назначения в заголовке Ethernet-кадра;
- если IP-адрес отправителя в заголовке ARP-пакета представлен в виде 0.0.0.0 или является IP-адресом многоадресной или широковещательной рассылки;
- если IP-адрес получателя в заголовке ARP-пакета представлен в виде 0.0.0.0 или является IP-адресом многоадресной или широковещательной рассылки.
По умолчанию функция ARP-валидации отключена для каждого порта.
Включить ее можно в режиме конфигурирования соответствующих интерфейсов.
В этом примере включим ARP-валидацию на портах 1-5 коммутатора.
DGS-1250-28X# conf t
DGS-1250-28X(config)# interface ethernet 1/0/1-5
DGS-1250-28X(config-if)# arp-validation
DGS-1250-28X(config-if)# end
Посмотреть настройки можно командой show arp-validation
