Opérations ARP courantes: Configuration de la détection ARP dynamique

106 0 0 0


L'inspection ARP dynamique (DAI) est utilisée pour prévenir les attaques Man in The Middle (MITM). Si DAI n'est pas configuré, les entrées ARP des utilisateurs autorisés sur le périphérique peuvent être mises à jour par les pseudo paquets ARP envoyés par des attaquants.

DAI est utilisé pour vérifier les paquets ARP en fonction des tables de liaison (tables de liaison DHCP statiques et dynamiques).

Lors de la réception d'un paquet ARP, le périphérique compare l'adresse IP source, l'adresse MAC source, l'interface et le réseau local virtuel du paquet ARP avec les informations de la table de liaison. Vous pouvez configurer les paramètres à comparer, par exemple l'adresse IP source et le VLAN.
Si les paramètres correspondent aux informations de la table, l'utilisateur est autorisé et le périphérique autorise le passage du paquet ARP.
Si les paramètres ne correspondent pas aux informations de la table, le périphérique considère qu'il s'agit d'un paquet d'attaque et le rejette.
# Configurez la surveillance DHCP sur le périphérique et activez DAI sur l'interface connectant le périphérique au côté utilisateur.

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable ipv4
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable // Activer la surveillance DHCP sur l'interface connectant le périphérique au côté utilisateur.
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] dhcp snooping trusted // Configurez l'interface connectant le périphérique au serveur DHCP en tant qu'interface approuvée. Si la surveillance DHCP est déployée sur le périphérique relais DHCP, la configuration de l'interface de confiance est facultative.
[HUAWEI-GigabitEthernet1/0/2] quit
[HUAWEI] user-bind static ip-address 10.10.10.1 vlan 100 // Configurez la table de liaison statique sur le périphérique pour les utilisateurs configurés avec des adresses IP statiques.
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind enable // Activer DAI sur l'interface reliant le périphérique au côté utilisateur.
[HUAWEI-GigabitEthernet1/0/1] quit
# Configurez la surveillance DHCP sur le périphérique et activez DAI dans le VLAN de l'utilisateur.

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable ipv4
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable // Activez DHCP snooping dans le VLAN auquel appartient la machine utilisateur.
[HUAWEI-vlan100] quit
[HUAWEI] vlan 200
[HUAWEI-vlan200] dhcp snooping enable
[HUAWEI-vlan200] dhcp snooping trusted interface gigabitethernet 1/0/2 // Configurez l'interface connectant le périphérique au serveur DHCP en tant qu'interface sécurisée. Si la surveillance DHCP est déployée sur le périphérique relais DHCP, la configuration de l'interface de confiance est facultative.
[HUAWEI-vlan200] quit
[HUAWEI] user-bind static ip-address 10.10.10.1 vlan 100 // Configurez la table de liaison statique sur le périphérique pour les utilisateurs configurés avec des adresses IP statiques.
[HUAWEI] vlan 100
[HUAWEI-vlan100] arp anti-attack check user-bind enable // Activer DAI dans le VLAN de l'utilisateur.
[HUAWEI-vlan100] quit

 
 
Informations complémentaires: Guide de fonctionnement commun des commutateurs de la série S

  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier