Leaflet
3-25
思科 ASA 系列命令参考,A 至 H 命令
第 3 章 area 至 auto-update timeout 命令
arp-inspection
注 如果有专用管理接口,即使此参数设置为 flood,它也从不会泛洪数据包。
ARP 检查防止恶意用户冒充其他主机或路由器(称为 ARP 欺骗)。ARP 欺骗能够启用 “ 中间人 ”
攻击。例如,主机发送 ARP 请求到网关路由器;网关路由器使用网关路由器 MAC 地址响应。但
是,攻击者使用攻击者 MAC 地址(而不是路由器 MAC 地址)将其他 ARP 响应发送到主机。然
后,攻击者可以在主机流量转发到路由器之前拦截所有主机流量。
如果正确的 MAC 地址和关联的 IP 地址在静态 ARP 表中,则 ARP 检查可确保攻击者无法使用攻
击者 MAC 地址发送 ARP 响应。
注 在透明防火墙模式下,动态 ARP 条目用于 ASA 中进出的流量,如管理流量。
示例 以下示例在 outside 接口上启用 ARP 检查,并将 ASA 设置为丢弃与静态 ARP 条目不匹配的所有
ARP 数据包。
ciscoasa(config)# arp outside 209.165.200.225 0009.7cbe.2100
ciscoasa(config)# arp-inspection outside enable no-flood
相关命令
命令 说明
arp
添加一个静态 ARP 条目。
clear configure
arp-inspection
清除 ARP 检查配置。
firewall transparent
将防火墙模式设置为透明。
show arp statistics
显示 ARP 统计数据。
show running-config
arp
显示 ARP 超时的当前配置。