功能简介
DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。
配置方法
开启DHCP Snooping并将连接DHCP服务器的端口设为信任:Ruijie>enableRuijie#configure terminal Ruijie(config)#ip dhcp snoopingRuijie(config)#interface gigabitEthernet 0/24Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trustRuijie(config-if-GigabitEthernet 0/24)#exit连接终端接口开启IP Source Guard:Ruijie(config)#interface range gigabitEthernet 0/1-16Ruijie(config-if-range)#ip verify source port-security Ruijie(config-if-range)#连接终端接口开启arp-check:Ruijie(config)#interface range gigabitEthernet 0/1-16Ruijie(config-if-range)#arp-check Ruijie(config-if-range)#endRuijie#writeDHCP Snooping + IP Source guard + ARP-check配置完成
