Bosh sahifa Wiki Dynamic ARP Inspection

Dynamic ARP Inspection

Dynamic ARP Inspection — switchda ARP paketlaridagi IP–MAC bog‘lanishini ishonchli manba bilan solishtirib, soxta ARP xabarlarini filtrlovchi Layer 2 xavfsizlik funksiyasi. DAI odatda DHCP snooping binding jadvalidan foydalanadi. Maqsad bir hostning boshqa qurilma yoki default gateway IP manzilini o‘z MACiga bog‘lab, trafikni o‘g‘irlashi yoki to‘sishini cheklashdir.

Ishonchli va ishonchsiz portlar

Access portlar odatda untrusted deb belgilanadi. Ulardan kelgan ARP Request va Reply tekshiriladi. Uplink, router yoki aniq ishonchli qurilmaga boruvchi port trusted bo‘lishi mumkin; bu portdagi ARP DAI tekshiruvini chetlab o‘tadi. Noto‘g‘ri trusted port himoya chegarasini buzadi.

DAI VLAN bo‘yicha yoqiladi. Trunk bir nechta VLAN tashisa, har VLAN siyosati va bindinglari hisobga olinadi. Switchlar zanjirida faqat kerakli upstream portlar trusted qilinadi.

Binding jadvali

DHCP snooping muvaffaqiyatli lease’dan IP, MAC, VLAN va port bog‘lanishini yaratadi. DAI untrusted portdagi ARP sender IP/MAC qiymatini shu yozuv bilan solishtiradi. Mos kelmasa paket tashlanadi va counter/log yangilanadi.

Statik IP ishlatadigan printer yoki server DHCP jadvalida yo‘q. Ular uchun ARP ACL yoki static binding kiritiladi. Butun portni trusted qilish o‘sha port ortidagi barcha qurilmaga tekshiruvsiz ARP yuborish imkonini beradi; aniq binding torroq nazoratdir.

Qo‘shimcha validatsiyalar

Platformaga qarab DAI quyidagilarni tekshirishi mumkin:

Har validatsiya topologiyaga mos yoqiladi. Proxy ARP, virtual gateway va ayrim clustering mexanizmlari bir IPni boshqa MAC bilan e’lon qilishi mumkin; qonuniy holat uchun binding yoki siyosat kerak.

Rate limiting

Untrusted portdagi ARP paketlar tezligi cheklanib, ARP flood switch CPU yoki inspection resursini band qilishi oldi olinadi. Chegara haddan tashqari past bo‘lsa, ko‘p VM yoki telefon-kompyuter zanjiri joylashgan portda qonuniy burst ham portni error-disable holatiga olib kelishi mumkin.

Recovery avtomatik yoki administrator orqali bo‘lishi mumkin. Logda qaysi validation va rate threshold ishlagani ko‘rsatiladi. Faqat portni qayta ochishdan oldin flood sababi aniqlanadi.

Gateway redundancy va mobility

HSRP/VRRP virtual IP va virtual MAC ishlatadi. DHCP binding hostlar uchun bo‘lsa-da, gateway porti odatda trusted uplink yoki tegishli ARP ACL bilan boshqariladi. VM bir portdan boshqasiga ko‘chganda eski snooping binding yangilanmaguncha ARP tushishi mumkin. DHCP renew yoki binding synchronization mobilityni qo‘llab-quvvatlaydi.

Diagnostika

Host IP oladi, lekin gateway ARP ishlamasa, DAI drop counteri, snooping binding, VLAN va port tekshiriladi. Paket capture host ARP qiymatlarini ko‘rsatadi. Switch logidagi actual va expected MAC/IP muammoni aniqlaydi.

DAI IPv4 ARP uchun; IPv6 Neighbor Discovery boshqa protokol va himoya mexanizmlariga ega. DAI trafikni shifrlamaydi va IP spoofingning barcha turini yakka o‘zi to‘xtatmaydi. IP Source Guard snooping binding asosida source IP trafikini ham cheklashi mumkin.

DAI drop loglari katta hujumda o‘zi monitoring tizimini to‘ldirishi mumkin. Log rate limit counterlarni saqlagan holda xabar oqimini cheklaydi. Muhim port yoki gateway IP uchun alohida alert qo‘yiladi.

Bog‘liq tushunchalar

ARP spoofing, DHCP snooping, IP Source Guard, ARP ACL, VLAN, Port security