交換機上防止ARP欺騙***

1 特性簡介
1.1 動態ARP 檢測特性
爲了防止黒客或***者通過ARP 報文實施欺騙行爲，將經過交換機的所有ARP（請求與迴應）報文重定向到CPU，由上層軟件去進行合法性檢測並轉發；如果源IP 源MAC、端口號和valn id 在Snooping 表項或者靜態綁定表中，則認爲合法，進行正常處理或轉發，否則認爲是非法ARP 報文，丟棄，並通過debug 信息給出提示。同時該模塊還支持信任端口和非信任端口（考慮聚合端口組處理，具體參見詳細設計文檔），如果端口被配置爲信任端口，則在該端口不進行ARP 檢測，否則進行ARP 檢測。
1.2 IP 過濾特性
爲防止***仿冒他人IP/MAC 進行***，需下發ACL 由硬件判斷IP 報文IP、MAC 和vlan id對應關係是否在Snooping 表項或者靜態綁定表中，合法則允許通過，否則直接丟棄，端口初始使能IP 過濾時，規則爲丟棄所有IP 報文，同時此功能也要考慮聚合端口組的處理。
2 特性的優點
2.1 動態ARP 檢測特性優點
開啓ARP 檢測功能，可以有效防止網絡中常見的ARP 欺騙***，同時也可以輕鬆限制非法網絡用戶訪問網絡的權限。
2.2 IP 過濾特性優點
開啓IP 過濾功能，直接將非法IP/MAC 報文丟棄，可以有效防止IP/MAC 欺騙。報文合法性判斷由硬件直接處理，效率高，佔用系統資源少。
4.3 配置舉例
4.3.1 動態ARP 檢測配置舉例
a)組網及應用需求
一般在做接入層的設備上啓用動態ARP 檢測功能，能夠有效防止ARP 欺騙。
b)配置過程
sy
system-view
Enter system view, return to user view with Ctrl+Z.
[Quidway]vlan 1
[Quidway-vlan1]arp detection enable（在vlan 上使能ARP 檢測功能）
[Quidway]interface e0/1
[Quidway-Ethernet0/1]arp detection trust（將端口設爲信任端口）
4.3.2 IP 過濾配置舉例
a)組網及應用需求
一般在接入層設備開啓IP 過濾功能，能夠有效防止IP/MAC 欺騙。
b)配置過程
system-view
Enter system view, return to user view with Ctrl+Z.
[Quidway]interface e0/1
[Quidway-Ethernet0/1]ip check source ip-address mac-address（在端口上使能IP過濾功能）
[Quidway-Ethernet0/1]ip source static binding ip-address 1.1.1.1 vlan 1mac-address 2-2-2 （在端口上綁定靜態表項）
4.4 注意事項
1） 當開啓動態ARP 檢測時，需要關閉發送免費ARP 功能，否則有可能造成安全隱患。
2） 當IP 過濾開啓時，初始狀態是deny 所有IP 報文，包括DHCP 報文。當使能DHCPSNOOPING 功能之後，允許所有的DHCP 報文通過，並且所有的IP 報文根據動態表項和靜態表項是否存在來決定該報文是否被允許通過，存在則允許通過。