No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar ARP estático

Ejemplo para configurar ARP estático

Descripción general

ARP estático permite a un administrador de red crear los mapeos fijos entre las direcciones IP y MAC.

El ARP dinámico puede dejar a las redes vulnerables a spoofs o ataques de ARP (cuando los dispositivos maliciosos envían mensajes ARP falsificados para vincular la dirección MAC de un atacante con la dirección IP de un dispositivo legítimo). Como resultado, las entradas de ARP pueden ser aprendidas incorrectamente. Sin embargo, si una entrada ARP estática está configurada en un dispositivo, el dispositivo puede comunicarse con el dispositivo del otro extremo usando solo la dirección MAC especificada. Los atacantes de red no pueden modificar el mapeo entre las direcciones IP y MAC usando los paquetes ARP, asegurando la comunicación entre los dos dispositivos.

Las entradas de ARP estáticas son aplicables cuando:
  • Las redes contienen dispositivos críticos como servidores. Los atacantes de red no pueden actualizar las entradas de ARP que contienen las direcciones IP de los dispositivos críticos en el switch mediante usar los paquetes de ataque ARP, y así asegura la comunicación entre los usuarios y los dispositivos críticos.
  • Las redes contienen dispositivos de usuario con direcciones MAC de multidifusión. De forma predeterminada, un dispositivo no aprende las entradas de ARP cuando las direcciones MAC de origen de los paquetes ARP recibidos son direcciones MAC de multidifusión.
  • Un administrador de red quiere evitar que una dirección IP acceda a los dispositivos. El administrador de red vincula la dirección IP a una dirección MAC no disponible.

Notas de configuración

  • La cantidad de entradas ARP estáticas configurada en el dispositivo no puede exceder la cantidad máxima de entradas ARP estáticas en el dispositivo. Puede ejecutar el comando display arp statistics all para comprobar el número existente de entradas de ARP en el dispositivo.
  • Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.

    NOTA:
    Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Requisitos de red

Como se muestra en Figura 7-1, el Switch conecta con los diferentes departamentos de una empresa. Los departamentos se agregan a diferentes VLAN. Las direcciones IP fijas se han asignado manualmente al servidor de reserva de archivos y a los hosts en la oficina del presidente, y las direcciones IP dinámicas se han asignado a los hosts en otros departamentos usando DHCP. Los hosts en el departamento de marketing pueden acceder a Internet y, a menudo, son atacados por los paquetes ARP. Los atacantes atacan el Switch y modifican las entradas de ARP dinámico en el Switch. Como resultado, la comunicación entre los hosts en la oficina del presidente y los dispositivos externos se interrumpe y los hosts en los departamentos no pueden acceder al servidor de reserva de archivos. La compañía requiere que las entradas ARP estáticas se configuren en el Switch para que los hosts en la oficina del presidente puedan comunicarse con los dispositivos externos y los hosts en los departamentos puedan acceder al servidor de reserva de archivos.

Figura 7-1  Diagrama de redes para configurar ARP estático

Hoja de ruta de configuración

La hoja de ruta de la configuración es la siguiente:

  1. Configure las entradas ARP estáticas para los hosts en la oficina del presidente en el Switch para evitar que las entradas de ARP de los hosts en la oficina del presidente sean modificadas por los paquetes de ataque de ARP.
  2. Configure una entrada ARP estática al servidor de reserva de archivos en el Switch para evitar que la entrada de ARP del servidor de reserva de archivos sea modificada por los paquetes de ataque de ARP.

Procedimiento

  1. Cree las VLAN en el Switch y configure una dirección IP para cada interfaz.

    # Cree VLAN 10, agregue las interfaces a VLAN 10 y configure una dirección IP para VLANIF 10.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10
    [Switch] interface gigabitethernet 1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type access
    [Switch-GigabitEthernet1/0/1] port default vlan 10
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface vlanif 10
    [Switch-Vlanif10] ip address 10.164.1.20 24
    [Switch-Vlanif10] quit

    # Configure GE1/0/2 como la interfaz principal y configure una dirección IP para ella.

    [Switch] interface gigabitethernet 1/0/2
    [Switch-GigabitEthernet1/0/2] undo portswitch
    [Switch-GigabitEthernet1/0/2] ip address 10.164.10.10 24
    [Switch-GigabitEthernet1/0/2] quit

    # Configure GE1/0/3 como la interfaz principal y configure una dirección IP para ella.

    [Switch] interface gigabitethernet 1/0/3
    [Switch-GigabitEthernet1/0/3] undo portswitch
    [Switch-GigabitEthernet1/0/3] ip address 10.164.20.1 24
    [Switch-GigabitEthernet1/0/3] quit
    NOTA:

    Si el Switch no admite la configuración que usa el comando undo portswitch para configurar una interfaz como la interfaz principal y luego configure una dirección IP para ella, configure la interfaz como una interfaz VLANIF y luego configure una dirección IP para ella.

  2. Configure las entradas ARP estáticas en el Switch.

    [Switch] arp static 10.164.1.1 00e0-fc01-0001 vid 10 interface gigabitethernet 1/0/1 //Configure una entrada ARP estática para hosts en la oficina del presidente
    [Switch] arp static 10.164.10.1 0df0-fc01-003a interface gigabitethernet 1/0/2 //Configure una entrada ARP estática para el servidor de reserva de archivos

  3. Verifique la configuración

    # Ejecute el comando display arp static para comprobar las entradas ARP estáticas configuradas.

    [Switch] display arp static
    IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE
                                              VLAN/CEVLAN                         
    ------------------------------------------------------------------------------
    10.164.1.1      00e0-fc01-0001            S--         GE1/0/1
                                                10/-
    10.164.10.1     0df0-fc01-003a            S--         GE1/0/2
                                                40/-
    ------------------------------------------------------------------------------
    Total:2         Dynamic:0       Static:2     Interface:0  

    # Haga ping a la dirección IP 10.164.20.2/24 de la interfaz en el Router que se conecta con el Switch desde un host (la dirección IP es 10.164.1.1/24, usando el sistema operativo Windows 7 como ejemplo) en la oficina del presidente. El ping es exitoso.

    C:\Documents and Settings\Administrator> ping 10.164.20.2
    Pinging 10.164.20.2 with 32 bytes of data:
    Reply from 10.164.20.2: bytes=32 time=1ms TTL=128
    Reply from 10.164.20.2: bytes=32 time=1ms TTL=128
    Reply from 10.164.20.2: bytes=32 time=1ms TTL=128
    Reply from 10.164.20.2: bytes=32 time=1ms TTL=128
    
    Ping statistics for 10.164.20.2:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 1ms, Maximum = 1ms, Average = 1ms

    # Haga ping a la dirección IP 10.164.10.10/24 del servidor de reserva desde un host (por ejemplo, usando la dirección IP 10.164.2.100/24 y el sistema operativo Windows 7) en el departamento de marketing. El ping es exitoso.

    C:\Documents and Settings\Administrator> ping 10.164.10.10
    Pinging 10.164.10.10 with 32 bytes of data:
    Reply from 10.164.10.10: bytes=32 time=1ms TTL=125
    Reply from 10.164.10.10: bytes=32 time=1ms TTL=125
    Reply from 10.164.10.10: bytes=32 time=1ms TTL=125
    Reply from 10.164.10.10: bytes=32 time=1ms TTL=125
    
    Ping statistics for 10.164.10.10:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 1ms, Maximum = 1ms, Average = 1ms

    # Haga ping a la dirección IP 10.164.10.10/24 del servidor de reserva desde un host (por ejemplo, usando la dirección IP 10.164.3.100/24 y el sistema operativo Windows 7) en el departamento de I+D. El ping es exitoso.

    C:\Documents and Settings\Administrator> ping 10.164.10.10
    Pinging 10.164.10.10 with 32 bytes of data:
    Reply from 10.164.10.10: bytes=32 time=1ms TTL=125
    Reply from 10.164.10.10: bytes=32 time=1ms TTL=125
    Reply from 10.164.10.10: bytes=32 time=1ms TTL=125
    Reply from 10.164.10.10: bytes=32 time=1ms TTL=125
    
    Ping statistics for 10.164.10.10:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 1ms, Maximum = 1ms, Average = 1ms

Archivos de configuración

Archivo de configuración de switch

#
sysname Switch
#
vlan batch 10
#
interface Vlanif10
 ip address 10.164.1.20 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet1/0/2
 undo portswitch
 ip address 10.164.10.10 255.255.255.0
#
interface GigabitEthernet1/0/3
 undo portswitch
 ip address 10.164.20.1 255.255.255.0
#
arp static 10.164.1.1 00e0-fc01-0001 vid 10 interface GigabitEthernet1/0/1
arp static 10.164.10.1 0df0-fc01-003a interface GigabitEthernet1/0/2
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15514

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente