S7503E arp攻击

感谢您的回答，所有办公地址是手动分配，我在7503端口上做了ip verify source ip-address mac-address ,但没做arp detection，我担心会断网，整个局域网一千多台电脑，还有很多业务是要访问服务器的。

我看了官网的arp攻击防范技术白皮书和arp攻击防御pdf，你说的arp detection应该是一些命令的组合吗？我看arp攻击防御里有很多arp相关命令，看了以后还是不懂哪些命令可以为我所用，不知道怎么下手

其实原理比较简单，ip source guard主要是用来形成一个静态的IP+MAC+VLAN的绑定表项，而arp detection会参考这个表项，来决定是否转发终端的ARP报文，如果ARP与静态表项不匹配，就直接丢弃，从而达到安全的目的。下面是一个配置示例，请参考： # 使能ARP Detection功能，对用户合法性进行检查。 [SwitchB] vlan 10 [SwitchB-vlan10] arp detection enable # 接口状态缺省为非信任状态，上行接口配置为信任状态，下行接口按缺省配置。 [SwitchB-vlan10] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] arp detection trust [SwitchB-GigabitEthernet1/0/3] quit # 在下行端口上配置IP Source Guard静态绑定表项。 [SwitchB] interface gigabitethernet 1/0/2 [SwitchB-GigabitEthernet1/0/2] ip source binding ip-address 10.1.1.6 mac-address 0001-0203-0607 vlan 10 [SwitchB-GigabitEthernet1/0/2] quit # 配置进行报文有效性检查。 [SwitchB] arp detection validate dst-mac ip src-mac 完成上述配置后，对于接口GigabitEthernet1/0/2收到的ARP报文，会基于IP Source Guard静态绑定表项进行用户合法性检查。

我的上连是到防火墙，应该把这个接口做成信任接口对吧？我下行端口是IP+MAC绑定没有绑vlan，这个有关系吗？所有下行接口都要起arp detection validate dst-mac ip src-mac 这条命令吗？会不会影响我访问服务器上的业务，服务器接在防火墙的DMZ区？