Остановить отравление arp на переключателе 5448 powerconnect

Question

Остановить отравление arp на переключателе 5448 powerconnect

Мы должны отключить отравление arp на нашем коммутаторе dell 5448. Прямо сейчас на нем работают все наши производственные машины, и я вообще не сетевой, поэтому я не хочу запускать команду, которая отключит arp на всех портах при настройке чего-то вроде статического arp для каждого порта.

Есть ли способ остановить отравление arp, оставляя его открытым для динамических запросов arp... или есть способ медленно переместиться. Еще лучше, если у одного порта есть статический arp, а все остальные динамические.

Спасибо!

1

switch arp dell-powerconnect arp-poisoning

Источник

Mike 04 янв '13 в 01:45

1 ответ

Другие вопросы по тегам switch arp dell-powerconnect arp-poisoning

xlash 11 янв '19 в 16:09 2019-01-11 16:09 · Answer 1 · 2019-01-11 16:09

Для любого, кто наткнулся на этот пост 6 лет спустя, включение защиты от отравления ARP не означает блокирование динамического ARP. Это означает, что сервер не может рекламировать ARP для IP-адресов, которые ему не принадлежат.

Это очень опасная идея, чтобы отключить защиту arp poisoining на всех портах (или не включать ее). Это может позволить локальному злоумышленнику перехватить DHCP, DNS-серверы или другие неаутентифицированные и зашифрованные службы типа "человек посередине" (например, HTTP).

Чтобы включить защиту от заражения ARP, в Dell вам нужно активировать защиту DHCP snooping, которая активирует Dynamic ARP Inspection.

Включение отслеживания DHCP с веб-сайта Dell Чтобы включить отслеживание DHCP, используйте следующие команды.

Включить отслеживание DHCP на глобальном уровне.
CONFIGURATION mode ip dhcp snooping
Укажите порты, подключенные к DHCP-серверам, как доверенные.
INTERFACE mode INTERFACE PORT EXTENDER mode ip dhcp snooping trust
Включите отслеживание DHCP в VLAN.
CONFIGURATION mode ip dhcp snooping vlan name

Следующие команды покажут, активен ли он:

Dell#show arp inspection database

                             Protocol  Address     Age(min) Hardware Address   Interface VLAN   CPU
                             ---------------------------------------------------------------------
                             Internet  10.1.1.251  -        00:00:4d:57:f2:50  Te 1/2    Vl 10  CP
                             Internet  10.1.1.252  -        00:00:4d:57:e6:f6  Te 1/1    Vl 10  CP
                             Internet  10.1.1.253  -        00:00:4d:57:f8:e8  Te 1/3    Vl 10  CP
                             Internet  10.1.1.254  -        00:00:4d:69:e8:f2  Te 1/5   Vl 10  CP
                             Dell#

Чтобы увидеть статистику проверок:

Dell#show arp inspection statistics

                             Dynamic ARP Inspection (DAI) Statistics
                             ---------------------------------------
                             Valid ARP Requests           : 0
                             Valid ARP Replies            : 1000
                             Invalid ARP Requests         : 1000
                             Invalid ARP Replies          : 0
                             Dell#

ИСТОЧНИК

Если вам нужны конкретные устройства для отправки рекламы ARP по IP-адресу, который не принадлежит им, это называется бесплатным ARP. Как правило, для коммутаторов Cisco можно включить бесплатную arp для конкретного порта для конфигураций высокой доступности сервера. Смотрите веб-сайт Cisco

В Dell следующая команда доверяет ARP для порта. Это не должно быть выполнено без необходимости.

INTERFACE mode arp inspection-trust