Мы должны отключить отравление arp на нашем коммутаторе dell 5448. Прямо сейчас на нем работают все наши производственные машины, и я совсем не специалист по сетям, поэтому я не хочу запускать команду, которая отключит arp на всех портах при настройке чего-то вроде статического arp для каждого порта.
Есть ли способ остановить отравление arp, сохраняя его открытым для динамических запросов arp ... или есть способ медленно перейти. А еще лучше есть способ просто сделать 1 порт статическим arp, а все остальные - динамическими ..
Спасибо!
Для любого, кто наткнется на этот пост 6 лет спустя, включение защиты от отравления ARP не означает блокирование динамического ARP. Это означает, что сервер не может анонсировать ARP для IP-адресов, которые ему не принадлежат.
Отключение arp poisoining - очень опасная идея. защиты на всех портах (или чтобы она не была включена). Это может позволить локальному злоумышленнику захватить DHCP, DNS-серверы или другие неаутентифицированные и зашифрованные службы (например, HTTP).
Чтобы включить защиту от отравления ARP, в Dell необходимо активировать защиту от отслеживания DHCP, которая активирует динамическую проверку ARP.
Включение DHCP Snooping с веб-сайта Dell Чтобы включить отслеживание DHCP, используйте следующие команды.
Включите отслеживание DHCP глобально.
CONFIGURATION mode ip dhcp snooping
Укажите порты, подключенные к DHCP-серверам, как доверенные.
INTERFACE mode INTERFACE PORT EXTENDER mode ip dhcp snooping trust
Включите отслеживание DHCP в VLAN.
CONFIGURATION mode ip dhcp snooping vlan name
Следующие команды покажут, активен ли он:
Dell#show arp inspection database
Protocol Address Age(min) Hardware Address Interface VLAN CPU
---------------------------------------------------------------------
Internet 10.1.1.251 - 00:00:4d:57:f2:50 Te 1/2 Vl 10 CP
Internet 10.1.1.252 - 00:00:4d:57:e6:f6 Te 1/1 Vl 10 CP
Internet 10.1.1.253 - 00:00:4d:57:f8:e8 Te 1/3 Vl 10 CP
Internet 10.1.1.254 - 00:00:4d:69:e8:f2 Te 1/5 Vl 10 CP
Dell#
Чтобы просмотреть статистику проверок:
Dell#show arp inspection statistics
Dynamic ARP Inspection (DAI) Statistics
---------------------------------------
Valid ARP Requests : 0
Valid ARP Replies : 1000
Invalid ARP Requests : 1000
Invalid ARP Replies : 0
Dell#
Если вам нужны определенные устройства для отправки рекламы ARP для IP-адресов, которые им не принадлежат, это называется бесплатным ARP. Обычно для коммутаторов Cisco вы можете включить бесплатный arp для конкретного порта для конфигураций высокой доступности сервера. Видеть Веб-сайт Cisco
В Dell следующая команда доверяет ARP для порта. Это не должно выполняться без необходимости.
INTERFACE mode arp inspection-trust