Manualshelf

User Guide

ManualsBrandsCisco ManualsSwitchesCisco SF500-24MP 24-port 10 100 Max PoE+ Stackable Managed Switch
431432433434435436437438439440
Protezione
Esame di ARP
Guida all'amministrazione degli switch gestiti stackable Cisco Small Business serie 500 435
22
Quando i pacchetti arrivano su interfacce non attendibili viene implementata la procedura logica seguente:
Cercare le regole del controllo di accesso ARP per gli indirizzi IP/MAC del pacchetto. Se l'indirizzo IP
viene trovato e l'indirizzo MAC nell'elenco corrisponde all'indirizzo MAC del pacchetto, il pacchetto è
valido; in caso contrario risulta non valido.
Se l'indirizzo IP del pacchetto non viene trovato e lo snooping DHCP viene attivato per la VLAN del
pacchetto, cercare il database di binding per snooping DHCP per la coppia <indirizzo IP e VLAN >
del pacchetto. Se la coppia <VLAN e indirizzo IP> è stata trovata e l'indirizzo MAC e l'interfaccia nel
database corrispondono all'indirizzo MAC e all'interfaccia iniziale del pacchetto, il pacchetto è valido.
Se l'indirizzo IP del pacchetto non è stato trovato nelle regole del controllo di accesso ARP o nel
database di binding per snooping DHCP, il pacchetto non è valido e viene eliminato. Viene generato
un messaggio SYSLOG.
Se un pacchetto è valido viene inoltrato e la cache ARP aggiornata.
Se si seleziona l'opzione Convalida pacchetto ARP (pagina Proprietà), vengono eseguiti ulteriori controlli di
convalida:
MAC di origine: confronta l'indirizzo MAC di origine del pacchetto nell'intestazione Ethernet con
l'indirizzo MAC del mittente nella richiesta ARP. Questo controllo viene eseguito sia sulle richieste sia
sulle risposte ARP.
MAC di destinazione: confronta l'indirizzo MAC di destinazione del pacchetto nell'intestazione
Ethernet con l'indirizzo MAC dell'interfaccia di destinazione. Questo controllo viene eseguito per le
risposte ARP.
Indirizzi IP: confronta il corpo ARP per indirizzi IP sconosciuti o non validi. Gli indirizzi includono
0.0.0.0, 255.255.255.255 e tutti gli indirizzi IP multicast.
I pacchetti con binding dell'esame di ARP non validi vengono registrati ed eliminati.
Nella tabella di controllo dell'accesso ARP è possibile indicare un massimo di 1024 voci.
Interazione tra l'esame di ARP e lo snooping DHCP
Se lo snooping DHCP viene attivato, l'esame di ARP utilizza il database di binding per snooping DHCP
insieme alle regole di controllo di accesso ARP. Se lo snooping DHCP non viene attivato, vengono utilizzate
soltanto le regole di controllo di accesso ARP.