Глава 24 Защита от подмены IP-адресов
24.7 Настройка инспекции ARP-пакетов
На данном экране производится настройка функции инспекции ARP-пакетов на коммутаторе. Кроме того, можно настроить период времени, в течение которого коммутатор хранит записи об отброшенных пакетах ARP, а также определить глобальные параметры контрольного журнала функции инспекции ARP-пакетов.Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > ARP Inspection > Configure.
Рисунок 113 Экран Advanced Application > IP Source Guard > ARP Inspection > Configure
Поля экрана описаны в следующей таблице.
Таблица 80 Экран Advanced Application > IP Source Guard > ARP Inspection > Configure
ПОЛЕ |
ОПИСАНИЕ |
Active |
Установите этот переключатель, чтобы включить на коммутаторе |
|
функцию инспекции ARP-пакетов. После этого необходимо включить |
|
функцию инспекции ARP-пакетов в конкретной сети VLAN и указать |
|
доверенные порты. |
|
|
Filter Aging Time |
|
|
|
Filter aging time |
Данная настройка не влияет на существующие фильтры MAC- |
|
адресов. |
|
Введите период времени (1-2147483647 секунд), в течение которого |
|
фильтр MAC-адресов будет действовать на коммутаторе с момента |
|
обнаружения коммутатором несанкционированного пакета ARP. По |
|
истечение этого времени фильтр MAC-адресов автоматически |
|
удаляется коммутатором. Чтобы фильтр MAC-адреса действовал |
|
постоянно, необходимо ввести в это поле значение 0. |
|
|
Log Profile |
|
|
|
Руководство пользователя по серии ES-3124
235 |
Глава 24 Защита от подмены IP-адресов
Таблица 80 Экран Advanced Application > IP Source Guard > ARP Inspection > Configure
ПОЛЕ |
ОПИСАНИЕ |
Log buffer size |
Введите максимальное количество сообщений контрольного журнала |
|
(0-1024), которые могут быть сгенерированы пакетами ARP до |
|
отправки на сервер syslog. Данное значение должно соответствовать |
|
указанным значениям параметров Syslog rate и Log interval. |
|
Если количество сообщений контрольного журнала на коммутаторе |
|
превысит это значение, коммутатор остановит запись сообщений |
|
контрольного журнала и будет только подсчитывать количество |
|
записей, которые были отброшены из-за нехватки места в буфере. |
|
Для очистки контрольного журнала и сброса данного счетчика |
|
нажмите на Clearing log status table на экране ARP Inspection Log |
|
Status.См. разд. 24.6.2 на стр. 233. |
Syslog rate |
Введите максимальное количество сообщений syslog, которые |
|
коммутатор может передать на сервер syslog в одной партии. Данное |
|
количество выражается в виде скорости, так как периодичность |
|
отправки партий устанавливается параметром Log Interval. Для |
|
использования этой функции необходимо настроить сервер syslog |
|
(гл. 32 на стр. 293). Чтобы коммутатор не отправлял сообщения |
|
контрольного журнала, генерируемые пакетами ARP, на сервер syslog, |
|
введите в данное поле значение 0. |
|
Взаимосвязь между параметрами Syslog rate и Log interval |
|
иллюстрируют следующие примеры: |
|
• 4 недействительных пакета ARP в секунду, Syslog rate равен 5, |
|
Log interval равен 1: коммутатор будет отправлять 4 сообщения |
|
syslog каждую секунду. |
|
• 6 недействительных пакетов ARP в секунду, Syslog rate равен 5, |
|
Log interval равен 2: коммутатор будет отправлять 10 сообщения |
|
syslog каждые 2 секунды. |
|
|
Log interval |
Введите периодичность (0-86400 секунд), с которой коммутатор будет |
|
отправлять партии сообщений syslog на сервер syslog. Чтобы |
|
сообщения отправлялись коммутатором на сервер syslog |
|
немедленно, введите в это поле значение 0. Пример взаимосвязи |
|
между параметрами Syslog rate и Log interval приводится в описании |
|
параметра Syslog rate. |
|
|
Apply |
Нажмите Apply, чтобы сохранить изменения в оперативной памяти |
|
коммутатора. Эти настройки будут утеряны в случае выключения |
|
коммутатора или перебоя в подаче питания, поэтому по завершении |
|
настройки необходимо нажать на ссылке Save в верхней |
|
навигационной панели для сохранения изменений в |
|
энергонезависимой памяти. |
|
|
Cancel |
Нажатие на данную кнопку сбрасывает параметры на данном экране к |
|
последним сохраненным значениям. |
|
|
24.7.1 Настройка портов для инспекции ARP-пакетов
На данном экране можно определить порты как доверенные и не заслуживающие доверия для функции инспекции ARP-пакетов. Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > ARP Inspection > Configure > Port.
236 |
Руководство пользователя по серии ES-3124
Глава 24 Защита от подмены IP-адресов
Рисунок 114 Экран Advanced Application > IP Source Guard > ARP Inspection > Configure > Port
Поля экрана описаны в следующей таблице.
Таблица 81 Экран Advanced Application > IP Source Guard > ARP Inspection > Configure > Port
ПОЛЕ |
ОПИСАНИЕ |
Port |
В этом поле отображается номер порта. При настройке порта * эти |
|
настройки применяются ко всем портам. |
|
|
Trusted State |
Выберите, будет ли данный порт считаться доверенным (Trusted) или |
|
не заслуживающим доверия (Untrusted). |
|
Пакеты ARP, приходящие через доверенные порты, коммутатором не |
|
отбрасываются ни по какой причине. |
|
От не заслуживающих доверия портов коммутатор отбрасывает ARP- |
|
пакеты в следующих случаях: |
|
• Информация об отправителе в ARP-пакете не совпадает с одной |
|
из существующих привязок. |
|
• Скорость поступления пакетов ARP слишком высока. Можно |
|
указать максимальную скорость, с которой будут приниматься |
|
ARP-пакеты через не заслуживающие доверия порты. |
|
|
Limit |
Для доверенных портов данные настройки безразличны |
|
|
Rate (pps) |
Укажите максимальную скорость (0-2048 пакетов в секунду), с которой |
|
коммутатор будет принимать ARP-пакеты через каждый из портов. |
|
Все пакеты ARP сверх указанного лимита коммутатором |
|
отбрасываются. Значение 0 позволяет отключить данный лимит. |
|
|
Burst interval |
Под этим значением понимается период времени, в течение которого |
(seconds) |
контролируется скорость поступления ARP-пакетов через каждый |
|
порт. Например, если скорость установлена равной 15 пакетам в |
|
секунду, а данный интервал – 1 секунде, то коммутатор принимает |
|
максимум 15 ARP-пакетов за каждый из интервалов |
|
продолжительностью в одну секунду. Если интервал установить |
|
равным 5 секундам, то коммутатор будет принимать максимум 75 |
|
ARP-пакетов в течение каждого пятисекундного интервала. |
|
Введите продолжительность интервала оценки (1-15 секунд). |
|
|
Руководство пользователя по серии ES-3124
237 |
Глава 24 Защита от подмены IP-адресов
Таблица 81 Экран Advanced Application > IP Source Guard > ARP Inspection > Configure > Port (продолжение)
ПОЛЕ |
ОПИСАНИЕ |
Apply |
Нажмите Apply, чтобы сохранить изменения в оперативной памяти |
|
коммутатора. Эти настройки будут утеряны в случае выключения |
|
коммутатора или перебоя в подаче питания, поэтому по завершении |
|
настройки необходимо нажать на ссылке Save в верхней |
|
навигационной панели для сохранения изменений в |
|
энергонезависимой памяти. |
|
|
Cancel |
Нажатие на данную кнопку сбрасывает параметры на данном экране к |
|
последним сохраненным значениям. |
|
|
24.7.2 Настройка сети VLAN для инспекции ARP-пакетов
На данном экране можно включить инспекцию ARP-пакетов для каждой виртуальной локальной сети и указать, должен ли коммутатор генерировать сообщения контрольного журнала при получении пакетов ARP от каждой из сетей VLAN.Чтобы отобразить показанный ниже экран, выберите Advanced Application > IP Source Guard > ARP Inspection > Configure > VLAN.
Рисунок 115 Экран Advanced Application > IP Source Guard > ARP Inspection > Configure > VLAN
Поля экрана описаны в следующей таблице.
Таблица 82 Экран Advanced Application > IP Source Guard > ARP Inspection > Configure > VLAN
ПОЛЕ |
ОПИСАНИЕ |
VLAN |
В данном разделе определяются виртуальные локальные сети VLAN, |
|
которые будут настраиваться в разделе ниже. |
|
|
Start VID |
Введите идентификатор начала диапазона для сетей VLAN, которые |
|
будут настраиваться в разделе ниже. |
|
|
End VID |
Введите идентификатор конца диапазона для сетей VLAN, которые |
|
будут настраиваться в разделе ниже. |
|
|
Apply |
Нажмите на данную кнопку, чтобы отобразить введенный диапазон |
|
сетей VLAN в разделе ниже. |
|
|
VID |
В данном поле отображаются идентификаторы VLAN ID каждой из |
|
сетей VLAN из выбранного выше диапазона. При настройке VLAN- |
|
сети * эти настройки применяются ко всем сетям VLAN. |
|
|
238 |
Руководство пользователя по серии ES-3124
Глава 24 Защита от подмены IP-адресов
Таблица 82 Экран Advanced Application > IP Source Guard > ARP Inspection > Configure > VLAN (продолжение)
ПОЛЕ |
ОПИСАНИЕ |
Enabled |
Выберите Yes, чтобы включить инспекцию ARP-пакетов в данной сети |
|
VLAN. Выберите No, чтобы отключить инспекцию ARP-пакетов в |
|
данной сети VLAN. |
|
|
Log |
Укажите, должен ли коммутатор генерировать сообщения |
|
контрольного журнала при получении пакетов ARP от данной VLAN. |
|
None: коммутатор не генерирует никаких сообщений контрольного |
|
журнала при получении пакетов ARP от данной VLAN. |
|
Deny: коммутатор генерирует сообщения контрольного журнала при |
|
отбрасывании пакета ARP от данной VLAN. |
|
Permit: коммутатор генерирует сообщения контрольного журнала при |
|
пересылке пакетов ARP от данной VLAN. |
|
All: коммутатор генерирует сообщения контрольного журнала при |
|
каждом получении пакетов ARP от данной VLAN. |
|
|
Apply |
Нажмите Apply, чтобы сохранить изменения в оперативной памяти |
|
коммутатора. Эти настройки будут утеряны в случае выключения |
|
коммутатора или перебоя в подаче питания, поэтому по завершении |
|
настройки необходимо нажать на ссылке Save в верхней |
|
навигационной панели для сохранения изменений в |
|
энергонезависимой памяти. |
|
|
Cancel |
Нажатие на данную кнопку сбрасывает параметры на данном экране к |
|
последним сохраненным значениям. |
|
|
Руководство пользователя по серии ES-3124
239 |
Глава 24 Защита от подмены IP-адресов
240 |
Руководство пользователя по серии ES-3124