Salam,

Layer 2 səviyyəsində ACL-dən istifadə edərək, ARP freymləri blok etmək mümkündür. ARP freymlər şəbəkədə ip ünvana uyğun mac ünvanın tapılması prosesində iştirak edir.

1. Kompüterdə CLI modunda ipconfig /all əmrini verməklə, kompüterin MAC ünvanını tapın:

 

Kompüterin MAC ünvanı – 40-61-86-4b-11-4e

2. Sviçdə Ethernet şəbəkəsindəki ARP freymi üçün ACL yaradın:

SW3560>enable

SW3560#configure terminal

SW3560(config)#mac access-list extended ARP

 

SW3560(config)#permit host 4061.864b.114e any 0×806 0×0

Ethernet şəbəkəsindəki ARP freymin kodu 0×806 kimidir.

3. ACL-də təyin olunan MAC ünvana tətbiq olunacaq əməliyyatı təyin edin. Bunun üçün vlan access-map əmrindən istifadə edin.

SW3560(config)#vlan access-map BLOCK_ARP 10

Sviçin ardıcıl olaraq vlan access-map əmrindəki sətirləri yoxlaması üçün sıra nömrəsi təyin edilir. 10 sıra nömrəsidir.

SW3560(config)#action drop

ACL-də təyin olunan MAC ünvana tətbiq olunacaq əməliyyat drop (rədd) xarakterlidir.

SW3560(config)#match mac address ARP

ARP adlı MAC ACL-i vlan access-map əmri ilə əlaqələndiririk.

SW3560(config)#vlan access-map BLOCK_ARP 20

Digər MAC ünvanlı kompüterlər üçün 20 sıra saylı vlan access-map əmrini daxil edirik.

SW3560(config)#action forward

Digər MAC ünvanlı kompüterlərin ARP freym yollamasına icazə veririk.

4. Sonda butun konfiqurasiyanı vlan-a tətbiq edirik. İlkin konfiqurasiyada sviçin bütün portları vlan 1-ə daxildir.

SW3560(config)#vlan filter BLOCK_ARP vlan-list 1

Sondakı 1 rəqəmi konfiqurasiyanın tətbiq olunduğu vlan-ın nömrəsini göstərir.

 

Uğurlar!

Amal

CCNA/CCNP/CCNA Security