Herunterladen Diese Seite drucken

Werbung

100
Funktionsbeschreibung
Anbindungen werden beim „DHCP Snooping" und der ARP-Überprüfung zur
Unterscheidung von autorisierten und nicht autorisierten Paketen im Netzwerk
verwendet. Der Switch erkennt die dynamischen Anbindungen durch das
„Snooping" bei DHCP-Paketen und die statischen Informationen durch die
manuellen Einträge aus dem Menü „Static Entry Settings".
7.3.1.3

ARP Inspection

Die dynamische „ARP Inspection" („Address Resolution Protocol Inspection",
ARP-Überprüfung) ist eine Sicherheitsfunktion, bei der ARP-Pakete in einem
Netzwerk überprüft werden. Bei der dynamischen ARP-Überprüfung werden IP-
zu-MAC-Adressanbindungen mit Einträgen aus einer gesicherten Datenbank (der
„DHCP Snooping"-Datenbank) abgeglichen, bevor ein Paket weitergeleitet wird.
Das dynamische ARP fängt ARP-Pakete mit ungültigen IP-zu-MAC-
Adressanbindungen ab, protokolliert sie und verwirft sie anschließend. Diese
Funktion bietet Schutz vor bestimmten „Man-in-the-Middle"-Angriffen.
Die dynamische ARP-Überprüfung stellt sicher, dass nur gültige ARP-Anfragen
und -Antworten weitergeleitet werden.
Der Switch führt folgende Prozesse aus:
Abfangen aller ARP-Anfragen und -Antworten an ungesicherten Ports.
Überprüfung aller abgefangenen Pakete auf gültige IP-zu-MAC-
Adressanbindung vor der Aktualisierung des lokalen ARP-Caches oder vor
der Weiterleitung eines Paketes an das entsprechende Ziel.
Trusted Port und Untrusted Port
Diese Einstellung ist unabhängig von der „Trusted/Untrusted"-Einstellung
für das „DHCP Snooping".
Der Switch wird in keinem Fall ARP-Pakete von „Trusted Ports" verwerfen.
Der Switch wird ARP-Pakete von „Untrusted Ports" verwerfen, wenn die
Informationen des Senders in den ARP-Paketen mit keiner der aktuellen
Anbindungen übereinstimmen.
Normalerweise sind die „Trusted Ports" die „Uplink Ports" und die
„Untrusted Ports" mit Teilnehmern verbunden.
Konfigurationen
Die ARP-Überprüfung kann beim Switch von Benutzern aktiviert bzw. deaktiviert
werden. Dies kann auch für ein spezifisches VLAN erfolgen. Wenn die ARP-
Überprüfung beim Switch deaktiviert ist, ist sie in allen VLANs deaktiviert, auch
wenn sie für einzelne VLANs aktiviert wurde.
852-303 8/2-Port 100Base-TX/1000Base-SX/LX
Handbuch
Version 1.3.0

Quicklinks ausblenden:

Werbung

loading