s5120-28p-poe 交换机上如何设置防ARP的功能

下面的攻击防范的手段在内网用户的网关设备上面操作

防止仿冒用户

[H3C]arp static 1.1.1.1 1111-1111-1111  先静态绑定所有终端的ip和mac

然后在网关接口关闭arp的学习功能，如果未绑定内网用户的ip和mac就关闭arp学习会导致内网用户上不去外网

[H3C]int vlan 1

[H3C-Vlan-interface1]arp max-learning-num 0

       var base_url = '/cn/tres'; $(function () { $('.headPc .navBox .nav').eq(3).find('a').addClass('acthover');})

图1-7 配置ARP网关保护功能组网图

3. 配置步骤

# 在Router B上配置ARP网关保护功能。

<RouterB> system-view

[RouterB] interface gigabitethernet 2/0/1

[RouterB-GigabitEthernet2/0/1] arp filter source 10.1.1.1

[RouterB-GigabitEthernet2/0/1] quit

[RouterB] interface gigabitethernet 2/0/2

[RouterB-GigabitEthernet2/0/2] arp filter source 10.1.1.1

       var base_url = '/cn/tres'; $(function () { $('.headPc .navBox .nav').eq(3).find('a').addClass('acthover');})

1.3.4  ARP防止IP报文攻击配置举例

1. 组网需求

某局域网内存在两个区域：研发区和办公区，分别属于VLAN 10和VLAN 20，通过接入交换机连接到网关Device，如图1-1所示。

网络管理员在监控网络时发现办公区存在大量ARP请求报文，通过分析认为存在IP泛洪攻击，为避免这种IP报文攻击所带来的危害，可采用ARP源抑制功能和ARP黑洞路由功能。

2. 组网图

图1-1 ARP防止IP报文攻击配置组网图

3. 配置思路

对攻击报文进行分析，如果发送攻击报文的源地址是固定的，采用ARP源抑制功能。在Device上做如下配置：

l              使能ARP源抑制功能；

l              配置ARP源抑制的阈值为100，即当每5秒内的ARP请求报文的流量超过100后，对于由此IP地址发出的IP报文，设备不允许其触发ARP请求，直至5秒后再处理。

否则采用ARP黑洞路由功能，在Device上配置ARP黑洞路由功能。

4. 配置步骤

(1)        配置ARP源抑制功能

# 使能ARP源抑制功能，并配置ARP源抑制的阈值为100。

<Device> system-view

[Device] arp source-suppression enable

[Device] arp source-suppression limit 100

(2)        配置ARP黑洞路由功能

# 使能ARP黑洞路由功能。

<Device> system-view

[Device] arp resolving-route enable

看样子楼上的回答文本是直接网上拷贝来的.

我的网络是酒店用的,所有用户是通过DHCP自动获取IP上网的,所以绑定IP 和MAC是不能实现的.