Руководство
пользователя
GS-4012F/4024
219
Г
Л А ВА
24
Защита
от
подмены
IP-
адресов
Функция
защиты
от
подмены
IP-
адресов
позволяет
отфильтровывать
несанкционированные
пакеты
DHCP
и
ARP
в
сети
.
24.1
Обзор
функции
защиты
от
подмены
IP-
адресов
Для
защиты
от
подмены
IP-
адресов
применяется
таблица
привязок
,
позволяющая
различать
санкционированные
и
несанкционированные
DHCP-
и
ARP-
пакеты
.
При
привязке
используются
следующие
атрибуты
:
• MAC-
адрес
• VLAN ID
• IP-
адрес
•
Номер
порта
При
получении
коммутатором
пакета
DHCP
или
ARP
производится
поиск
соответствующих
MAC-
адреса
,
идентификатора
VLAN ID, IP-
адреса
и
номера
порта
в
таблице
привязок
.
При
наличии
привязки
коммутатор
пересылает
пакет
.
Если
привязки
не
найдено
,
пакет
коммутатором
отбрасывается
.
Таблица
привязок
строится
коммутатором
посредством
отслеживания
пакетов
DHCP
(
динамическая
привязка
)
и
на
основе
информации
,
предоставленной
администратором
вручную
(
статическая
привязка
).
Функция
защиты
от
подмены
IP-
адресов
включает
в
себя
следующие
функции
:
•
Статическая
привязка
.
Используется
для
создания
статических
связей
в
таблице
привязок
.
•
Отслеживание
DHCP.
Используется
для
отфильтровывания
несанкционированных
пакетов
DHCP
в
сети
и
для
динамического
построения
таблицы
привязок
.
•
Инспекция
ARP-
пакетов
.
Используется
для
отфильтровывания
несанкционированных
пакетов
ARP.
Чтобы
использовать
динамическую
привязку
для
отфильтровывания
несанкционированных
ARP-
пакетов
(
типичная
ситуация
),
перед
включением
инспекции
ARP-
пакетов
необходимо
включить
отслеживание
DHCP.
24.1.1
Обзор
отслеживания
DHCP
Функция
отслеживания
DHCP
позволяет
отфильтровывать
несанкционированные
DHCP-
пакеты
в
сети
и
динамически
строить
таблицу
привязок
.
Благодаря
этому
можно
защитить
клиентов
от
получения
IP-
адресов
от
несанкционированных
серверов
DHCP.