华三交换机配置什么命令可以防止arp欺骗攻击

1.7  配置ARP主动确认功能

1. 功能简介

ARP的主动确认功能主要应用于网关设备上，防止攻击者仿冒用户欺骗网关设备。

配置ARP主动确认功能后，设备在新建或更新ARP表项前需进行主动确认，防止产生错误的ARP表项。

配置严格模式后，新建ARP表项前，ARP主动确认功能会执行更严格的检查：

·     收到目标IP地址为自己的ARP请求报文时，设备会发送ARP应答报文，但不建立ARP表项；

·     收到ARP应答报文时，需要确认本设备是否对该报文中的源IP地址发起过ARP解析：若发起过解析，解析成功后则设备启动主动确认功能，主动确认流程成功完成后，设备可以建立该表项；若未发起过解析，则设备丢弃该报文。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启ARP主动确认功能。

arp active-ack [ strict ] enable

缺省情况下，ARP主动确认功能处于关闭状态。

在严格模式下，只有ARP黑洞路由功能处于开启状态，ARP主动确认功能才能生效。

您好，参考

1.3.5  ARP防止IP报文攻击典型配置举例　　

参考配置https://www.h3c.com/cn//D_202411/2305222_30005_82.htm

1. 组网需求

某局域网内存在两个区域：研发区和办公区，分别属于VLAN 10和VLAN 20，通过接入交换机连接到网关Device，如图1-1所示。

网络管理员在监控网络时发现办公区存在大量ARP请求报文，通过分析认为存在IP泛洪攻击，为避免这种IP报文攻击所带来的危害，可采用ARP源抑制功能和ARP黑洞路由功能。

2. 组网图

图1-1 ARP防止IP报文攻击配置组网图

3. 配置步骤

·     如果发送攻击报文的源地址是固定的，需要配置ARP源抑制功能

# 开启ARP源抑制功能，并配置ARP源抑制的阈值为100。即当每5秒内的ARP请求报文的流量超过100后，对于由此IP地址发出的IP报文，设备不允许其触发ARP请求，直至5秒后再处理。

<Device> system-view

[Device] arp source-suppression enable

[Device] arp source-suppression limit 100

·     如果发送攻击报文的源地址是不固定的，需要配置ARP黑洞路由功能

# 开启ARP黑洞路由功能。

[Device] arp resolving-route enable