ipsg功能与arp detection功能区别

IPSG即IP源保护
DAI即动态ARP检测
这2项技术部署的前提是DHCPSnooping
2种技术都是2层技术。区别可以从他们的名字中看出来，分别用于防范不同的攻击类型:
IPSG用于同一个网络中，其他主机盗用自己的IP地址。如果配置了IPSG，那么每个端口只能有一个!P地址,就算你的主机关机了，但是只要别人没有占用你的端口，就不能用你的IP地址。这是一个很好的防止内部网络乱改IP的技术。默认IPSG只以源IP地址为条件过滤IP包，如果加上以源MAC地址为条件过滤的话，必须开启DHCPQ SNOOPING INFORMAITON OPTION 82功能
DAI主要是防范中间人攻击的，中间人他并不会抢占别人的IP，而是通过arp欺骗，引导2层数据流从自己这里经过，从而可以截获他人信息。DAl利用snooping表中的端口和MAC项，来过滤非法的ARP应答，保证ARP请求可以得到正确的应答。
这样可以看出，2项技术是针对不同需求的，为了网络更加安全，建议都要配置。呵呵
启用这2项后，可能对交换机的CPU资源有一定影响，我们暂时使用没有太大问题，就是交换机重启时间要慢些。(读取DHCPSnooping表项会占用时间)，若有问题可以考虑将snooping表放到外部服务器上。
ip dhcp snooping database flash:dhcpsnooping.text，将flash:dhcpsnooping.text 改为你服务器的目录即可