h3c S 5800交换机arp欺骗攻击怎么解决？

为避免这种IP报文攻击所带来的危害，设备提供了下列两个功能：

·     如果发送攻击报文的源是固定的，可以采用ARP源抑制功能。开启该功能后，以每5秒为单位时间，当在5秒的单位时间内由某特定主机发出IP报文触发的ARP请求报文的数量超过设置的阈值，那么对这台主机随后发出的所有IP报文，设备不允许其再触发ARP请求，并丢弃这些IP报文。直至这5秒结束后，设备允许这台主机重新触发ARP请求，并重复以上的操作，从而避免了恶意攻击所造成的危害。

·     如果发送攻击报文的源不固定，可以采用ARP黑洞路由功能。开启该功能后，一旦接收到目标IP地址不能解析的IP报文，设备立即产生一个黑洞路由，使得设备在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后，如有报文触发则再次发起解析，如果解析成功则进行转发，否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击，减轻CPU的负担。