arp攻击防范配置

1. 核心交换机基础ARP检测配置
核心交换机上联口（接汇聚的接口）：
# 进入接口配置模式
interface GigabitEthernet x/x/x
# 启用ARP检测信任
arp detection trust
quit
在核心交换机上创建ARP检测信任区域：
# 进入VLAN视图
vlan [vlan-id]
# 启用ARP检测
arp detection enable
quit
2. 检查并配置DHCP Snooping（如果使用DHCP）
# 全局启用DHCP Snooping
dhcp snooping enable
# 在VLAN中启用DHCP Snooping
vlan [vlan-id]
dhcp snooping enable
quit

# 将核心交换机的上联口配置为DHCP信任口
interface GigabitEthernet x/x/x
dhcp snooping trust
quit
3. 配置ARP报文过滤策略（关键步骤）
# 创建防ARP攻击策略
arp anti-attack rate-limit enable
# 设置ARP报文限速
arp anti-attack rate-limit 50 # 每秒50个ARP报文

# 配置ARP报文有效性检查
arp detection validate dst-mac ip-address
# 或使用绑定表验证
arp detection validate dst-mac ip-address sender-mac
4. 检查并配置动态ARP检测绑定表
# 查看ARP检测绑定表
display arp detection statistics vlan [vlan-id]

# 如果需要静态绑定（对固定IP设备）
arp static [ip-address] [mac-address] vlan [vlan-id] interface [interface]
5. 常见问题排查命令
# 查看ARP检测状态
display arp detection vlan [vlan-id]

# 查看接口ARP检测信任状态
display arp detection interface [interface]

# 查看DHCP Snooping绑定表
display dhcp snooping binding

# 开启ARP检测调试信息
debugging arp packet
6. 推荐的完整配置流程
先在核心交换机上配置：
上联接口配置为信任口
启用ARP检测
配置ARP验证方式
然后重启ARP检测功能：
# 禁用后再启用ARP检测
vlan [vlan-id]
undo arp detection enable
arp detection enable
quit
验证配置：
检查终端是否能正常获取IP
检查ARP表项是否正常学习
检查是否有ARP攻击告警
7. 如果问题仍然存在，尝试以下排查：
检查核心交换机的ARP表项学习是否正常
确认所有交换机的VLAN配置一致
检查是否有环路或广播风暴
暂时关闭ARP检测，确认是否是ARP检测导致的问题
注意：ARP检测需要与DHCP Snooping配合使用效果更好。如果网络中有静态IP终端，需要配置静态绑定表项。

当网络中存在多台启用ARP Detection的设备时，必须逐级配置信任接口链（终端→接入→汇聚→核心），任何环节缺失信任配置都将导致通信中断。