В этой статье описывается случай, при котором нужно настроить защиту от ARP спуфинга при отсутствии DHCP и статичных Ip адресах у клиента.
Рассматривается реализация при помощи ACL:
ACL в EXOS можно редактировать встроенным редактором схожим с VI.
exos# edit policy acl-in-port-1
В политике приведенной ниже — мы разрешаем все арпы только от хоста 10.10.10.2/32. Все остальные ARP пакеты будут дропнуты.
entry allow-arps {
if match all {
ethernet-type 0x0806;
arp-sender-address 10.10.10.2 mask 255.255.255.255;
}
then {
permit;
}
}
entry deny-any-other-arp {
if match all {
ethernet-type 0x0806;
}
then {
deny;
count dropped-invalid-arp;
}
}
Далее нужно назначить созданную политику на порт:
configure access-list acl-in-port-1 ports 1 ingress
После применения ACL, можно посмотреть статистику по счетчикам дропнутых пакетов:
# sh access-list counter ports 1
Policy Name Vlan Name Port Direction
Counter Name Packet Count Byte Count
==================================================================
acl-in-port-1 * 1 ingress
dropped-invalid-arp 0