交换机上防止ARP欺骗***

1 特性简介
1.1 动态ARP 检测特性
为了防止黒客或***者通过ARP 报文实施欺骗行为，将经过交换机的所有ARP（请求与回应）报文重定向到CPU，由上层软件去进行合法性检测并转发；如果源IP 源MAC、端口号和valn id 在Snooping 表项或者静态绑定表中，则认为合法，进行正常处理或转发，否则认为是非法ARP 报文，丢弃，并通过debug 信息给出提示。同时该模块还支持信任端口和非信任端口（考虑聚合端口组处理，具体参见详细设计文档），如果端口被配置为信任端口，则在该端口不进行ARP 检测，否则进行ARP 检测。
1.2 IP 过滤特性
为防止***仿冒他人IP/MAC 进行***，需下发ACL 由硬件判断IP 报文IP、MAC 和vlan id对应关系是否在Snooping 表项或者静态绑定表中，合法则允许通过，否则直接丢弃，端口初始使能IP 过滤时，规则为丢弃所有IP 报文，同时此功能也要考虑聚合端口组的处理。
2 特性的优点
2.1 动态ARP 检测特性优点
开启ARP 检测功能，可以有效防止网络中常见的ARP 欺骗***，同时也可以轻松限制非法网络用户访问网络的权限。
2.2 IP 过滤特性优点
开启IP 过滤功能，直接将非法IP/MAC 报文丢弃，可以有效防止IP/MAC 欺骗。报文合法性判断由硬件直接处理，效率高，占用系统资源少。
4.3 配置举例
4.3.1 动态ARP 检测配置举例
a)组网及应用需求
一般在做接入层的设备上启用动态ARP 检测功能，能够有效防止ARP 欺骗。
b)配置过程
sy
system-view
Enter system view, return to user view with Ctrl+Z.
[Quidway]vlan 1
[Quidway-vlan1]arp detection enable（在vlan 上使能ARP 检测功能）
[Quidway]interface e0/1
[Quidway-Ethernet0/1]arp detection trust（将端口设为信任端口）
4.3.2 IP 过滤配置举例
a)组网及应用需求
一般在接入层设备开启IP 过滤功能，能够有效防止IP/MAC 欺骗。
b)配置过程
system-view
Enter system view, return to user view with Ctrl+Z.
[Quidway]interface e0/1
[Quidway-Ethernet0/1]ip check source ip-address mac-address（在端口上使能IP过滤功能）
[Quidway-Ethernet0/1]ip source static binding ip-address 1.1.1.1 vlan 1mac-address 2-2-2 （在端口上绑定静态表项）
4.4 注意事项
1） 当开启动态ARP 检测时，需要关闭发送免费ARP 功能，否则有可能造成安全隐患。
2） 当IP 过滤开启时，初始状态是deny 所有IP 报文，包括DHCP 报文。当使能DHCPSNOOPING 功能之后，允许所有的DHCP 报文通过，并且所有的IP 报文根据动态表项和静态表项是否存在来决定该报文是否被允许通过，存在则允许通过。