Operaciones comunes de ARP: Configurar detección dinámica de ARP

105 0 0 0

La inspección dinámica de ARP (DAI) se utiliza para prevenir ataques de “Man in The Middle” (MITM). Si DAI no está configurado, las entradas ARP de los usuarios autorizados en el dispositivo pueden actualizarse mediante los pseudo paquetes ARP enviados por los atacantes.

DAI se utiliza para verificar los paquetes ARP de acuerdo con las tablas de enlace (tablas de enlace DHCP dinámicas y estáticas).

Al recibir un paquete ARP, el dispositivo compara la dirección IP de origen, la dirección MAC de origen, la interfaz y la VLAN en el paquete ARP con la información en la tabla de enlace. Puede configurar los parámetros para comparar, por ejemplo, la dirección IP de origen y la VLAN.

  • Si los parámetros coinciden con la información de la tabla, el usuario está autorizado y el dispositivo permite que el paquete ARP pase.

  • Si los parámetros no coinciden con la información de la tabla, el dispositivo considera que se trata de un paquete de ataque y descarta el paquete.

# Configure la indagación DHCP en el dispositivo y habilite DAI en la interfaz que conecta el dispositi****l lado del usuario.

<HUAWEI> system-view

[HUAWEI] dhcp enable

[HUAWEI] dhcp snooping enable ipv4

[HUAWEI] interface gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable // Habilite la indagación DHCP en la interfaz que conecta el dispositi****l lado del usuario.

[HUAWEI-GigabitEthernet1/0/1] quit

[HUAWEI] interface gigabitethernet 1/0/2

[HUAWEI-GigabitEthernet1/0/2] dhcp snooping trusted // Configure la interfaz que conecta el dispositi****l servidor DHCP como una interfaz confiable. Si la indagación DHCP se implementa en el dispositivo de retransmisión DHCP, la configuración de la interfaz de confianza es opcional.

[HUAWEI-GigabitEthernet1/0/2] quit

[HUAWEI] user-bind static ip-address 10.10.10.1 vlan 100 // Configure la tabla de enlace estático en el dispositivo para los usuarios configurados con direcciones IP estáticas.

[HUAWEI] interface gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind enable // Habilite DAI en la interfaz que conecta el dispositi****l lado del usuario.

[HUAWEI-GigabitEthernet1/0/1] quit

 

# Configure la indagación DHCP en el dispositivo y habilite DAI en la VLAN del lado del usuario.

<HUAWEI> system-view

[HUAWEI] dhcp enable

[HUAWEI] dhcp snooping enable ipv4

[HUAWEI] vlan 100

[HUAWEI-vlan100] dhcp snooping enable // Habilite la indagación DHCP en la VLAN a la que pertenece el dispositivo del usuario.

[HUAWEI-vlan100] quit

[HUAWEI] vlan 200

[HUAWEI-vlan200] dhcp snooping enable

[HUAWEI-vlan200] dhcp snooping trusted interface gigabitethernet 1/0/2 // Configure la interfaz que conecta el dispositi****l servidor DHCP como una interfaz confiable. Si la indagación DHCP se implementa en el dispositivo de retransmisión DHCP, la configuración de la interfaz de confianza es opcional.

[HUAWEI-vlan200] quit

[HUAWEI] user-bind static ip-address 10.10.10.1 vlan 100 // Configure la tabla de enlace estático en el dispositivo para los usuarios configurados con direcciones IP estáticas.

[HUAWEI] vlan 100

[HUAWEI-vlan100] arp anti-attack check user-bind enable // Habilitar DAI en la VLAN del lado del usuario.

[HUAWEI-vlan100] quit

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba