三步,您参考一下
禁止接口学习动态ARP表项
1.2.2 配置接口学习动态ARP表项的最大数目
设备可以通过ARP协议自动生成动态ARP表项。为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大数目来进行限制。当接口学习动态ARP表项的最大数目达到所设置的值时,该接口将不再学习动态ARP表项。
表1-2 配置接口学习动态ARP表项的最大数目
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入接口视图 | interface interface-type interface-number | - |
配置接口允许学习动态ARP表项的最大数目 | arp max-learning-num number | 可选 缺省情况下,二层接口不对允许学习动态ARP表项的最大数目进行限制,对于S5500-EI系列以太网交换机的三层接口允许学习动态ARP表项的最大数目为8192;对于S5500-SI系列以太网交换机的三层接口允许学习动态ARP表项的最大数目为2048 当配置接口允许学习动态ARP表项的最大数目为0时,表示禁止接口学习动态ARP表项 |
如果二层接口及其所属的VLAN三层接口都配置了允许学习动态ARP表项的最大数目,则以数目小的进行限制。
1.2 配置ARP
1.2.1 手工添加静态ARP表项
静态ARP表项在设备正常工作时间一直有效,当设备的ARP表项所对应的VLAN或VLAN接口被删除时,如果是长静态ARP表项则被删除,如果是已经解析的短静态ARP表项则重新变为未解析状态。
操作 | 命令 | 说明 | |
进入系统视图 | system-view | - | |
手工添加静态ARP表项 | 手工添加长静态ARP表项 | arp static ip-address mac-address vlan-id interface-type interface-number [ vpn-instance vpn-instance-name ] | 两者必选其一 |
手工添加短静态ARP表项 | arp static ip-address mac-address [ vpn-instance vpn-instance-name ] | ||
· 参数vlan-id用于指定ARP表项所对应的VLAN,vlan-id必须是用户已经创建好的VLAN的ID,且vlan-id参数后面指定的以太网端口必须属于这个VLAN。VLAN对应的VLAN接口必须已经创建。
· 指定参数vlan-id和ip-address的情况下,参数vlan-id对应的VLAN接口的IP地址必须和参数ip-address指定的IP地址属于同一网段。
1.4 ARP典型配置举例
1.4.1 静态ARP表项配置举例
1. 组网需求
· Switch连接主机,通过接口GigabitEthernet1/0/1连接Router。接口GigabitEthernet1/0/1属于VLAN 10。
· Router的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-0000。
网络管理员希望通过某种方法来防止恶意用户对Switch进行ARP攻击,增加Switch和Router通信的安全性。如果Router的IP地址和MAC地址是固定的,则可以通过在Switch上配置静态ARP表项的方法,防止恶意用户进行ARP攻击。
2. 组网图
图1-4 配置静态ARP表项组网图
3. 配置步骤
在Switch上进行下列配置。
# 创建VLAN 10。
<Switch> system-view
[Switch] vlan 10
[Switch-vlan10] quit
# 将接口GigabitEthernet1/0/1加入到VLAN 10中。
[Switch] interface GigabitEthernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk permit vlan 10
[Switch-GigabitEthernet1/0/1] quit
# 创建接口Vlan-interface10,并配置IP地址。
[Switch] interface vlan-interface 10
[Switch-vlan-interface10] ip address 192.168.1.2 24
[Switch-vlan-interface10] quit
# 配置一条静态ARP表项,IP地址为192.168.1.1,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为属于VLAN 10的接口GigabitEthernet1/0/1。
[Switch] arp static 192.168.1.1 00e0-fc01-0000 10 GigabitEthernet 1/0/1
# 查看静态ARP表项信息。
[Switch] display arp static
Type: S-Static D-Dynamic A-Authorized
IP Address MAC Address VLAN ID Interface Aging Type
192.168.1.1 00e0-fc01-0000 10 GE1/0/1 N/A S
以下是IP+MAC绑定的方法总结:
IP+MAC方法一:
在全局模式使用arp static方式进行绑定,命令如下:
arp static 1.1.1.1 0023-24a1-0605
IP+MAC方法二:
进入接口使用arp filter方式进行绑定,命令如下:
int interface Ten-GigabitEthernet 1/1/1
arp filter binding 1.1.1.1 0023-24a1-0605
IP+MAC方法三:
进入接口使用动态绑定表项的方式进行绑定,命令如下:
interface Ten-GigabitEthernet 1/1/1
ip source binding ip-address 1.1.1.1 mac-address 0023-24a1-0605
ip verify source ip-address mac-address
也可在系统模式下使用动态绑定表项的方式进行绑定,命令如下:
ip source binding ip-address 1.1.1.1 mac-address 0023-24a1-0605
IP+MAC方法四:
如果本设备配置为DHCP服务器,且需要实现IP+MAC的静态绑定,命令如下:
dhcp enable
dhcp server ip-pool 123
static-bind ip-address 1.1.1.1 24 hardware-address 0023-24a1-0605
暂无评论
1. 全局绑定(整台交换机生效,推荐)
system-view
arp static 192.168.1.10 0011-2233-4455
· 192.168.1.10 → 电脑 / 打印机 IP
· 0011-2233-4455 → MAC 地址
2. 只在某个端口绑定(更严格)
system-view
interface GigabitEthernet 1/0/1
port-security enable
port-security mac-address sticky 0011-2233-4455 vlan 1 ip 192.168.1.10
3. 开启 ARP 检查,防止私自改 IP
arp anti-attack check user-bind enable
ip source check user-bind enable
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论