Salam,
Layer 2 səviyyəsində ACL-dən istifadə edərək, ARP freymləri blok etmək mümkündür. ARP freymlər şəbəkədə ip ünvana uyğun mac ünvanın tapılması prosesində iştirak edir.
1. Kompüterdə CLI modunda ipconfig /all əmrini verməklə, kompüterin MAC ünvanını tapın:
Kompüterin MAC ünvanı – 40-61-86-4b-11-4e
2. Sviçdə Ethernet şəbəkəsindəki ARP freymi üçün ACL yaradın:
SW3560>enable
SW3560#configure terminal
SW3560(config)#mac access-list extended ARP
SW3560(config)#permit host 4061.864b.114e any 0×806 0×0
Ethernet şəbəkəsindəki ARP freymin kodu 0×806 kimidir.
3. ACL-də təyin olunan MAC ünvana tətbiq olunacaq əməliyyatı təyin edin. Bunun üçün vlan access-map əmrindən istifadə edin.
SW3560(config)#vlan access-map BLOCK_ARP 10
Sviçin ardıcıl olaraq vlan access-map əmrindəki sətirləri yoxlaması üçün sıra nömrəsi təyin edilir. 10 sıra nömrəsidir.
SW3560(config)#action drop
ACL-də təyin olunan MAC ünvana tətbiq olunacaq əməliyyat drop (rədd) xarakterlidir.
SW3560(config)#match mac address ARP
ARP adlı MAC ACL-i vlan access-map əmri ilə əlaqələndiririk.
SW3560(config)#vlan access-map BLOCK_ARP 20
Digər MAC ünvanlı kompüterlər üçün 20 sıra saylı vlan access-map əmrini daxil edirik.
SW3560(config)#action forward
Digər MAC ünvanlı kompüterlərin ARP freym yollamasına icazə veririk.
4. Sonda butun konfiqurasiyanı vlan-a tətbiq edirik. İlkin konfiqurasiyada sviçin bütün portları vlan 1-ə daxildir.
SW3560(config)#vlan filter BLOCK_ARP vlan-list 1
Sondakı 1 rəqəmi konfiqurasiyanın tətbiq olunduğu vlan-ın nömrəsini göstərir.
Uğurlar!
Amal
CCNA/CCNP/CCNA Security