ER8300G2

选择基于哪个表项（静态路由表、静态ARP表、动态ARP表）来对报文进行源认证（选中相应的功能项，单击<应用>按钮生效）

启用基于静态路由的报文源认证功能

开启该功能后，路由器将根据静态路由表对所有报文的源IP地址进行检查。如果静态路由表中存在到该源IP地址的表项，则转发该报文；否则丢弃该报文

比如：路由器LAN口下挂的设备接口地址为192.168.1.5/24，内网为192.200.200.0/24网段。同时，您设置静态路由目的地址为192.200.200.0/24，下一跳为192.168.1.5，出接口为LAN口。此时，路由器允许从192.200.200.0/24网段转发过来的报文通过

启用基于ARP绑定、DHCP分配ARP防护下的报文源认证功能

开启该功能后，路由器将根据静态ARP表的绑定关系及DHCP分配列表中的对应关系，来认证内网的报文。如果报文的源IP地址/MAC地址与静态ARP表中的IP地址/MAC地址对应关系存在冲突，则路由器将其直接丢弃

比如：您设置了一条ARP静态绑定项（将源IP地址：192.168.1.100与源MAC地址：08:00:12:00:00:01绑定）。当路由器LAN侧收到一个报文，其源IP地址为192.168.1.100，但源MAC地址为08:00:12:00:00:02，路由器会将该报文丢弃

启用基于动态ARP的报文源认证功能

开启该功能，路由器将会根据动态ARP表的对应关系，来认证内网的报文。如果报文的源IP地址/MAC地址与已确认合法的动态ARP表的IP地址/MAC地址对应关系存在冲突，则路由器将其直接丢弃

比如：路由器动态学习到一条ARP表项（源IP地址：192.168.1.100，源MAC地址：08:00:12:00:00:01），当路由器LAN侧在该ARP表项老化之前收到一个报文，其源IP地址为192.168.1.100，但源MAC地址为08:00:12:00:00:02，路由器会将该报文丢弃