Глава
24
Защита
от
подмены
IP-
адресов
Руководство
пользователя
GS-4012F/4024
223
Пакеты
ARP,
приходящие
через
доверенные
порты
,
коммутатором
не
отбрасываются
ни
по
какой
причине
.
От
не
заслуживающих
доверия
портов
коммутатор
отбрасывает
ARP-
пакеты
в
следующих
случаях
:
•
Информация
об
отправителе
в
ARP-
пакете
не
совпадает
с
одной
из
существующих
привязок
.
•
Скорость
поступления
пакетов
ARP
слишком
высока
.
24.1.2.3
Системный
журнал
Syslog
При
пересылке
или
отбрасывании
пакетов
ARP
коммутатор
может
отправлять
сообщения
системного
журнала
syslog
на
указанный
сервер
В
целях
большей
эффективности
коммутатор
может
консолидировать
сообщения
контрольного
журнала
и
отправлять
их
партиями
.
24.1.2.4
Настройка
инспекции
ARP-
пакетов
Чтобы
настроить
на
коммутаторе
функцию
инспекции
ARP-
пакетов
,
выполните
следующие
действия
.
1
Настройте
отслеживание
DHCP.
См
.
разд
. 24.1.1.4
на
стр
. 221
.
"
Рекомендуется
включить
отслеживание
DHCP
как
минимум
за
один
день
до
включения
инспекции
ARP-
пакетов
,
чтобы
у
коммутатора
было
достаточно
времени
для
построения
таблицы
привязок
.
2
Включите
функцию
инспекции
ARP-
пакетов
в
каждой
сети
VLAN.
3
Настройте
доверенные
и
не
заслуживающие
доверия
порты
,
а
также
укажите
максимальное
количество
пакетов
ARP
в
секунду
,
принимаемое
через
каждый
из
портов
.
24.2
Защита
от
подмены
IP-
адресов
На
данном
экране
можно
просмотреть
существующие
привязки
для
функций
отслеживания
DHCP
и
инспекции
ARP-
пакетов
.
На
основе
привязок
функции
отслеживания
DHCP
и
инспекции
ARP-
пакетов
различают
санкционированные
и
несанкционированные
пакеты
.
Таблица
привязок
строится
коммутатором
посредством
отслеживания
пакетов
DHCP (
динамическая
привязка
)
и
на
основе
информации
,
предоставленной
администратором
вручную
(
статическая
привязка
).
Чтобы
отобразить
показанный
ниже
экран
,
выберите
Advanced Application > IP Source Guard
.
Рисунок
100
Экран
IP Source Guard