ARP 检测是一个安全防御功能,为地址解析协议报文验证 MAC 地址绑定是否正确。 它可防御无效的 MAC-IP 地址绑定的 ARP 数据流,这些无效的 ARP 数据流主要来自一些“中间人”攻击。 要完成这一防御行为,需在本地 ARP 缓存更新及报文正确转发到目的地前,拦截所有的 ARP 请求和应答报文并验证是否为无效的 ARP 报文。 无效的 ARP 报文将被丢弃。
ARP 检测可以决定 ARP 报文的有效性,这基于存储在受信任的数据库(DHCP Snooping 绑定表)中有效的 IP-MAC 地址绑定。 该数据库被 DHCP Snooping 建立,只要交换机已在有需要的 VLAN 上开启了全局 DHCP snooping 。 对于静态配置地址的主机,ARP 检测同样可以验证 ARP 报文与用户配置的 ARP 访问控制链表(ACLs)是否一致。
使用 安全 > ARP 检测 (全局配置)页面来为交换机开启全局的 ARP 检测(用于验证每个报文的地址信息),以及配置 Log 。
开启全局的 ARP 检测。(默认:Disabled)
只要启用下面任一选项,就将开启可扩展的 ARP 检测验证功能。(默认:Disabled)
验证以太网帧头所带目的 MAC 地址与 ARP 应答报文获取的 MAC 地址是否一致。
检查 ARP 报文是否携带无效或非预期的 IP 地址。 发送者的 IP 地址在 ARP 请求与 ARP 应答时都将进行检查,而目的 IP 地址只有在 ARP 应答时检查。
允许发送者IP地址为 0.0.0.0.
验证以太网报头中的源MAC地址与ARP正文中的发送方MAC地址。 这个检查是在ARP请求和响应中执行的。
保存在日志消息缓存中的最大表项数。(范围:0-256;默认:5)
输出日志消息的间隔时间。(范围:0-86400 秒;默认:1 秒)
使用 安全 > ARP 检测( VLAN 配置 )页面来为任何 VLAN 开启 ARP 检测,以及指定将使用的 ARP ACL 。
已配置VLAN的标识符。
为选定的VLAN启用动态ARP检测。(默认:关闭)
允许选择任何已配置的ARP ACL。(默认:无)
当选择了某个 ARP ACL ,同时也选择了静态模式时,交换机将只执行 ARP 检测而不会验证是否与 DHCP Snooping 绑定表一致。 当选择了某个 ARP ACL ,但没有选静态模式时,交换机将首先执行 ARP 检测,然后才验证是否与 DHCP Snooping 绑定表一致。 (默认:关闭)
使用 安全 > ARP 检测(接口配置)页面来指定需执行 ARP 检测的端口,并设置好报文检测速率。
端口标识符
配置端口为信任或者非信任状态。(默认:非信任)
默认情况,所有非信任端口将受到 ARP 报文速率限制,而所有的信任端口将不受 ARP 报文速率限制。
信任端口上收到的报文将直接被转发,不做 ARP 检测和 ARP 检测验证检查。而非信任端口上收到的报文将做全部已配的 ARP 检测测试。
为非信任状态的端口设置 CPU 每秒能处理的最大 ARP 报文数。(范围:0-2048;默认:15)
限速应用在新人或者不信任端口。
限速设为 “0” 时,表示将不对 CPU 能处理的 ARP 报文数做限制。
当某端口接收到 ARP 报文的速率超过配置的 ARP 速率(报文每秒)限制时,交换机将丢弃该端口收到的所有 ARP 报文。
使用安全> ARP检测(显示信息 - 显示统计)页面显示有关处理的ARP数据包的数量的统计信息,或由于各种原因而丢弃。
收到的ARP 不得超过ARP 检测速率限制的报文数。
超过ARP 速率限制(且被其丢弃)的ARP 报文数。
IP地址测试失败的ARP报文数。
目的MAC 地址测试失败的报文数。
源MAC地址测试失败的ARP 报文数。
对ARP ACL 规则进行验证而失败的ARP 报文数。
对DHCP Snooping 绑定数据库进行验证而失败的报文数。
使用安全 > ARP 检测(显示信息 - 显示 Log)页面来显示关于储存日志的条目,包括相关的VLAN, 端口和地址组件。
这个报文被视为VLAN。
这个报文被视为端口。
源 IP 地址在报文里。
目的 IP 地址在报文里。
源 MAC 地址在报文里。
目的 MAC 地址在报文里。