Назад | Перейти на главную страницу

остановить отравление arp на переключателе питания 5448

Мы должны отключить отравление arp на нашем коммутаторе dell 5448. Прямо сейчас на нем работают все наши производственные машины, и я совсем не специалист по сетям, поэтому я не хочу запускать команду, которая отключит arp на всех портах при настройке чего-то вроде статического arp для каждого порта.

Есть ли способ остановить отравление arp, сохраняя его открытым для динамических запросов arp ... или есть способ медленно перейти. А еще лучше есть способ просто сделать 1 порт статическим arp, а все остальные - динамическими ..

Спасибо!

Для любого, кто наткнется на этот пост 6 лет спустя, включение защиты от отравления ARP не означает блокирование динамического ARP. Это означает, что сервер не может анонсировать ARP для IP-адресов, которые ему не принадлежат.

Отключение arp poisoining - очень опасная идея. защиты на всех портах (или чтобы она не была включена). Это может позволить локальному злоумышленнику захватить DHCP, DNS-серверы или другие неаутентифицированные и зашифрованные службы (например, HTTP).

Чтобы включить защиту от отравления ARP, в Dell необходимо активировать защиту от отслеживания DHCP, которая активирует динамическую проверку ARP.

Включение DHCP Snooping с веб-сайта Dell Чтобы включить отслеживание DHCP, используйте следующие команды.

  1. Включите отслеживание DHCP глобально.

    CONFIGURATION mode ip dhcp snooping

  2. Укажите порты, подключенные к DHCP-серверам, как доверенные.

    INTERFACE mode INTERFACE PORT EXTENDER mode ip dhcp snooping trust

  3. Включите отслеживание DHCP в VLAN.

    CONFIGURATION mode ip dhcp snooping vlan name

Следующие команды покажут, активен ли он:

Dell#show arp inspection database

                             Protocol  Address     Age(min) Hardware Address   Interface VLAN   CPU
                             ---------------------------------------------------------------------
                             Internet  10.1.1.251  -        00:00:4d:57:f2:50  Te 1/2    Vl 10  CP
                             Internet  10.1.1.252  -        00:00:4d:57:e6:f6  Te 1/1    Vl 10  CP
                             Internet  10.1.1.253  -        00:00:4d:57:f8:e8  Te 1/3    Vl 10  CP
                             Internet  10.1.1.254  -        00:00:4d:69:e8:f2  Te 1/5   Vl 10  CP
                             Dell#

Чтобы просмотреть статистику проверок:

Dell#show arp inspection statistics

                             Dynamic ARP Inspection (DAI) Statistics
                             ---------------------------------------
                             Valid ARP Requests           : 0
                             Valid ARP Replies            : 1000
                             Invalid ARP Requests         : 1000
                             Invalid ARP Replies          : 0
                             Dell#

ИСТОЧНИК

Если вам нужны определенные устройства для отправки рекламы ARP для IP-адресов, которые им не принадлежат, это называется бесплатным ARP. Обычно для коммутаторов Cisco вы можете включить бесплатный arp для конкретного порта для конфигураций высокой доступности сервера. Видеть Веб-сайт Cisco

В Dell следующая команда доверяет ARP для порта. Это не должно выполняться без необходимости.

INTERFACE mode arp inspection-trust