我们必须禁用戴尔 5448 交换机上的 arp 中毒。目前,我们所有的生产机器都在它上面运行,而我根本不是网络专家,所以我不想运行一个命令来禁用所有端口上的 arp,同时设置每个端口的静态 arp 之类的东西。
有没有办法阻止 arp 中毒发生,同时保持对动态 arp 请求开放...或者有没有办法慢慢转移。更好的办法是,有没有办法只让 1 个端口具有静态 arp,而所有其他端口都是动态的...
谢谢!
答案1
对于 6 年后偶然发现这篇文章的人来说,启用 ARP 中毒保护并不意味着阻止动态 ARP。它意味着服务器不能为不属于它们的 IP 地址通告 ARP。
禁用 arp 中毒是一个非常危险的想法在所有端口上启用保护(或不启用)。这样做可能会使本地攻击者劫持 DHCP、DNS 服务器或其他未经身份验证和加密的中间人服务(例如 HTTP)。
要启用 ARP 中毒保护,在戴尔上,您需要激活 DHCP 侦听保护,这将激活动态 ARP 检查。
启用 DHCP 侦听来自戴尔网站 要启用 DHCP 监听,请使用以下命令。
全局启用 DHCP 监听。
CONFIGURATION mode ip dhcp snooping
将连接到 DHCP 服务器的端口指定为受信任的。
INTERFACE mode INTERFACE PORT EXTENDER mode ip dhcp snooping trust
在 VLAN 上启用 DHCP 监听。
CONFIGURATION mode ip dhcp snooping vlan name
以下命令将显示它是否处于活动状态:
Dell#show arp inspection database
Protocol Address Age(min) Hardware Address Interface VLAN CPU
---------------------------------------------------------------------
Internet 10.1.1.251 - 00:00:4d:57:f2:50 Te 1/2 Vl 10 CP
Internet 10.1.1.252 - 00:00:4d:57:e6:f6 Te 1/1 Vl 10 CP
Internet 10.1.1.253 - 00:00:4d:57:f8:e8 Te 1/3 Vl 10 CP
Internet 10.1.1.254 - 00:00:4d:69:e8:f2 Te 1/5 Vl 10 CP
Dell#
查看检查统计数据:
Dell#show arp inspection statistics
Dynamic ARP Inspection (DAI) Statistics
---------------------------------------
Valid ARP Requests : 0
Valid ARP Replies : 1000
Invalid ARP Requests : 1000
Invalid ARP Replies : 0
Dell#
如果您需要特定设备发送不属于它们的 IP 地址的 ARP 广告,则称为免费 ARP。通常对于 Cisco 交换机,您可以根据特定端口启用免费 ARP,以实现服务器高可用性配置。请参阅思科网站
在 Dell 上,以下命令信任端口的 ARP。除非必要,否则不应执行此操作。
INTERFACE mode arp inspection-trust