Глава 24 Защита от подмены IP-адресов
Пакеты ARP, приходящие через доверенные порты, коммутатором не отбрасываются ни по какой причине.
Пакеты ARP, приходящие через не заслуживающие доверия порты, отбрасываются коммутатором в том случае, если информация об отправителе в ARP-пакете не совпадает ни с одной из существующих привязок.
24.1.2.3 Системный журнал Syslog
При пересылке или отбрасывании пакетов ARP коммутатор может отправлять сообщения системного журнала syslog на указанный сервер syslog (гл. 32 на стр. 293). В целях большей эффективности коммутатор может консолидировать сообщения контрольного журнала и отправлять их партиями.
24.1.2.4 Настройка инспекции ARP-пакетов
Чтобы настроить на коммутаторе функцию инспекции ARP-пакетов, выполните следующие действия.
1Настройте отслеживание DHCP. См. разд. 24.1.1.4 на стр. 217.
"Рекомендуется включить отслеживание DHCP как минимум за один день
до включения инспекции ARP-пакетов, чтобы у коммутатора было
достаточно времени для построения таблицы привязок.
2Включите функцию инспекции ARP-пакетов в каждой сети VLAN.
3Настройте доверенные и не заслуживающие доверия порты, а также укажите максимальное количество пакетов ARP в секунду, принимаемое через каждый из портов.
24.2Защита от подмены IP-адресов
На данном экране можно просмотреть существующие привязки для функций отслеживания DHCP и инспекции ARP-пакетов. На основе привязок функции отслеживания DHCP и инспекции ARP-пакетов различают санкционированные и несанкционированные пакеты. Таблица привязок строится коммутатором посредством отслеживания пакетов DHCP (динамическая привязка) и на основе информации, предоставленной администратором вручную (статическая привязка).Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard.
Рисунок 104 Экран Advanced Application > IP Source Guard
Руководство пользователя по серии ES-3124
219 |
Глава 24 Защита от подмены IP-адресов
Поля экрана описаны в следующей таблице.
Таблица 71 Экран Advanced Application > IP Source Guard
ПОЛЕ |
ОПИСАНИЕ |
Index |
В этом поле отображается порядковый номер каждой привязки. |
|
|
MAC Address |
В этом поле отображается MAC-адрес источника для привязки. |
|
|
IP Address |
В этом поле отображается IP-адрес, назначенный для MAC-адреса в |
|
привязке. |
|
|
Lease |
В этом поле отображается количество дней, часов, минут и секунд, в |
|
течение которого действует привязка; например, 2d3h4m5s означает, |
|
что привязка действует в течение 2 дней, 3 часов, 4 минут и 5 секунд. |
|
Для привязки, действительной в течение неограниченного времени |
|
(например, статической привязки), в этом поле отображается infinity. |
|
|
Type |
В этом поле отображается способ получения коммутатором |
|
информации о привязке. |
|
static: привязка создана с использованием информации, |
|
предоставленной администратором вручную. |
|
dhcp-snooping: привязка создана в результате отслеживания пакетов |
|
DHCP. |
|
|
VID |
В этом поле отображается идентификатор VLAN для привязки. |
|
|
Port |
В этом поле отображается номер порта для привязки. Если данное |
|
поле пустое, привязка действует для всех портов. |
|
|
24.3 Статическая привязка для защиты от подмены IPадресов
На данном экране можно управлять статическими привязками для функций отслеживания DHCP и инспекции ARP-пакетов. Статические привязки идентифицируются по MAC-адресу и идентификатору VLAN ID. Для каждой комбинации MAC-адреса и идентификатора VLAN ID можно создать только одну статическую привязку. При попытке создать статическую привязку с теми же MACадресом и идентификатором VLAN ID, что и у существующей статической привязки, новая информация заменяет предыдущую.Чтобы отобразить показанный ниже экран,
выберите Advanced Application > IP Source Guard > Static Binding.
220 |
Руководство пользователя по серии ES-3124
Глава 24 Защита от подмены IP-адресов
Рисунок 105 Экран Advanced Application > IP Source Guard > Static Binding
Поля экрана описаны в следующей таблице.
Таблица 72 Экран Advanced Application > IP Source Guard > Static Binding
ПОЛЕ |
ОПИСАНИЕ |
MAC Address |
Введите MAC-адрес источника для привязки. |
|
|
IP Address |
Введите IP-адрес, назначенный для MAC-адреса в привязке. |
|
|
VLAN |
Введите идентификатор VLAN ID для привязки. |
|
|
Port |
Укажите порты для привязки. Если привязка относится к одному порту, |
|
выберите первый переключатель и введите номер порта в |
|
соответствующее поле справа. Если данная привязка относится ко |
|
всем портам, выберите переключатель Any. |
|
|
Add |
Нажмите на данную кнопку, чтобы добавить указанную статическую |
|
привязку или обновить существующую. |
|
|
Cancel |
Нажмите на данную кнопку, чтобы сбросить значения из последней |
|
выбранной статической привязке или, если ничего не было выбрано, |
|
очистить перечисленные выше поля. |
|
|
Clear |
Нажмите на данную кнопку, чтобы очистить перечисленные выше |
|
поля. |
|
|
Index |
В этом поле отображается порядковый номер каждой привязки. |
|
|
MAC Address |
В этом поле отображается MAC-адрес источника для привязки. |
|
|
IP Address |
В этом поле отображается IP-адрес, назначенный для MAC-адреса в |
|
привязке. |
|
|
Lease |
В этом поле отображается период действия привязки. |
|
|
Type |
В этом поле отображается способ получения коммутатором |
|
информации о привязке. |
|
static: привязка создана с использованием информации, |
|
предоставленной администратором вручную. |
|
|
VLAN |
В этом поле отображается идентификатор VLAN для привязки. |
|
|
Port |
В этом поле отображается номер порта для привязки. Если данное |
|
поле пустое, привязка действует для всех портов. |
|
|
Руководство пользователя по серии ES-3124
221 |
Глава 24 Защита от подмены IP-адресов
Таблица 72 Экран Advanced Application > IP Source Guard > Static Binding
ПОЛЕ |
ОПИСАНИЕ |
Delete |
Установите переключатель и нажмите на Delete, чтобы удалить |
|
выбранную запись. |
|
|
Cancel |
Нажмите на данную кнопку, чтобы снять выделение с переключателей |
|
Delete. |
|
|
24.4 Отслеживание DHCP
На данном экране можно просмотреть различные статистические данные по базе данных отслеживания DHCP. Чтобы отобразить показанный ниже экран, выберите
Advanced Application > IP Source Guard > DHCP Snooping.
222 |
Руководство пользователя по серии ES-3124
Глава 24 Защита от подмены IP-адресов
Рисунок 106 Экран Advanced Application > IP Source Guard > DHCP Snooping
Руководство пользователя по серии ES-3124
223 |
Глава 24 Защита от подмены IP-адресов
Поля экрана описаны в следующей таблице.
Таблица 73 Экран Advanced Application > IP Source Guard > DHCP Snooping
ПОЛЕ |
ОПИСАНИЕ |
Database Status |
|
|
|
|
В данном разделе отображаются текущие настройки базы данных |
|
отслеживания DHCP. Их можно изменить на экране DHCP Snooping |
|
Configure.См. разд. 24.5 на стр. 226. |
|
|
Agent URL |
В данном поле отображается месторасположение базы данных |
|
отслеживания DHCP. |
|
|
Write delay timer |
В данном поле отображается, как долго (в секундах) коммутатор |
|
пытается выполнить конкретное обновление базы данных |
|
отслеживания DHCP перед отказом от дальнейших попыток. |
|
|
Abort timer |
В данном поле отображается, как долго (в секундах) коммутатор |
|
выжидает перед обновлением базы данных отслеживания DHCP |
|
после изменения текущих привязок. |
|
|
|
В этом разделе отображается информация о текущем обновлении и |
|
следующем обновлении базы данных отслеживания DHCP. |
|
|
Agent running |
В этом поле отображается статус текущего обновления или доступа к |
|
базе данных отслеживания DHCP. |
|
none: коммутатор не обращается к базе данных отслеживания DHCP. |
|
read: коммутатор осуществляет загрузку динамических привязок из |
|
базы данных отслеживания DHCP. |
|
write: коммутатор осуществляет обновление базы данных |
|
отслеживания DHCP. |
|
|
Delay timer expiry |
В данном поле отображается, сколько еще (в секундах) коммутатор |
|
будет пытаться выполнить текущее обновление перед отказом от |
|
дальнейших попыток. Если коммутатор в данный момент не |
|
выполняет обновления базы данных отслеживания DHCP, в этом поле |
|
отображается Not Running. |
|
|
Abort timer expiry |
В данном поле отображается, через какой промежуток времени (в |
|
секундах) коммутатор выполнит очередное обновление базы данных |
|
отслеживания DHCP. Если текущие привязки с момента последнего |
|
обновления не изменялись, в этом поле отображается Not Running. |
|
|
|
В данном разделе отображается информация о последнем |
|
обновлении коммутатором базы данных отслеживания DHCP. |
|
|
Last succeeded time |
В этом поле отображается время последнего успешного обновления |
|
коммутатором базы данных отслеживания DHCP. |
|
|
Last failed time |
В этом поле отображается время последнего неудавшегося |
|
обновления коммутатором базы данных отслеживания DHCP. |
|
|
Last failed reason |
В этом поле отображается причина последнего неудавшегося |
|
обновления коммутатором базы данных отслеживания DHCP. |
|
|
|
В данном разделе отображается историческая информация о |
|
количестве успешных и неудавшихся попыток считывания или |
|
обновления коммутатором базы данных отслеживания DHCP. |
|
|
Total attempts |
В этом поле отображается общее количество попыток обращения |
|
коммутатором к базе данных отслеживания DHCP по любым |
|
причинам. |
|
|
Startup failures |
В данном поле отображается количество случаев, когда коммутатору |
|
не удалось создать или считать базу данных отслеживания DHCP при |
|
запуске коммутатора или настройки нового URL для базы данных |
|
отслеживания DHCP. |
|
|
224 |
Руководство пользователя по серии ES-3124
|
|
Глава 24 Защита от подмены IP-адресов |
|
|
Таблица 73 Экран Advanced Application > IP Source Guard > DHCP Snooping |
||
|
ПОЛЕ |
ОПИСАНИЕ |
|
|
Successful transfers |
В данном поле отображается количество случаев успешного |
|
|
|
считывания привязок или обновления привязок коммутатором в базе |
|
|
|
данных отслеживания DHCP. |
|
|
|
|
|
|
Failed transfers |
В данном поле отображается количество случаев неудавшегося |
|
|
|
считывания привязок или обновления привязок коммутатором в базе |
|
|
|
данных отслеживания DHCP. |
|
|
|
|
|
|
Successful reads |
В этом поле отображается количество успешных считываний привязок |
|
|
|
коммутатором из базы данных отслеживания DHCP. |
|
|
|
|
|
|
Failed reads |
В этом поле отображается количество неудавшихся считываний |
|
|
|
привязок коммутатором из базы данных отслеживания DHCP. |
|
|
|
|
|
|
Successful writes |
В этом поле отображается количество успешных обновлений привязок |
|
|
|
коммутатором в базе данных отслеживания DHCP. |
|
|
|
|
|
|
Failed writes |
В этом поле отображается количество неудавшихся обновлений |
|
|
|
привязок коммутатором в базе данных отслеживания DHCP. |
|
|
|
|
|
|
Database detail |
|
|
|
|
|
|
|
First successful access |
В этом поле отображается время первого обращения коммутатора к |
|
|
|
базе данных отслеживания DHCP по любой причине. |
|
|
|
|
|
|
Last ignored bindings |
В этом разделе отображается количество случаев и причины, по |
|
|
counters |
которым коммутатором были проигнорированы привязки при |
|
|
|
последней попытке считывания привязок из базы данных |
|
|
|
отслеживания DHCP. Эти счетчики можно сбросить посредством |
|
|
|
перезапуска коммутатора или с использованием команд интерфейса |
|
|
|
командной строки. См. Справочник по интерфейсу командной строки. |
|
|
|
|
|
|
Binding collisions |
В этом поле отображается количество привязок, которые были |
|
|
|
проигнорированы коммутатором по причине наличия в коммутаторе |
|
|
|
привязки с тем же самым MAC-адресом и идентификатором VLAN ID. |
|
|
|
|
|
|
Invalid interfaces |
В этом поле отображается количество привязок, которые были |
|
|
|
проигнорированы коммутатором по причине того, что номер порта |
|
|
|
соответствует доверенному интерфейсу или больше не существует. |
|
|
|
|
|
|
Parse failures |
В этом поле отображается количество привязок, которые были |
|
|
|
проигнорированы коммутатором по причине невозможности для |
|
|
|
коммутатор выделить данные для привязки из базы данных привязок |
|
|
|
DHCP. |
|
|
|
|
|
|
Expired leases |
В этом поле отображается количество привязок, которые были |
|
|
|
проигнорированы коммутатором по причине окончания срока аренды. |
|
|
|
|
|
|
Unsupported vlans |
В этом поле отображается количество привязок, которые были |
|
|
|
проигнорированы коммутатором по причине прекращения |
|
|
|
существования сети с указанным VLAN ID. |
|
|
|
|
|
|
Last ignored time |
В этом поле отображается время последнего игнорирования |
|
|
|
коммутатором привязок из базы данных отслеживания DHCP по |
|
|
|
любой причине. |
|
|
|
|
|
|
Total ignored bindings |
В этом разделе отображается количество случаев и причины, по |
|
|
counters |
которым коммутатором были проигнорированы привязки при |
|
|
|
считывании привязок из базы данных отслеживания DHCP за все |
|
|
|
время. Эти счетчики можно сбросить посредством перезапуска |
|
|
|
коммутатора или с использованием команд интерфейса командной |
|
|
|
строки. См. Справочник по интерфейсу командной строки. |
|
|
|
|
|
|
Binding collisions |
В этом поле отображается количество привязок, которые были |
|
|
|
проигнорированы коммутатором по причине наличия в коммутаторе |
|
|
|
привязки с тем же самым MAC-адресом и идентификатором VLAN ID. |
|
|
|
|
|
Руководство пользователя по серии ES-3124
225 |