03.ARP原理及防ARP欺骗解决方案.pptVIP

8 * ACE相当于交换机端口前形成的挡板（槽位） ACE资源由交换机硬件决定，不能无限制增加，这就是为什么使用端口安全功能时，每个端口会有最大数量限制 以上端口策略只是举例而已，不能与交换机中的ACL等同 8 * ARP-check能正常使用的前提是ACE中已存在IP+MAC地址信息 8 * DAI和ARP-check最大的区别在于 arp-check使用硬件方式过滤ARP报文，DAI使用软件方式过滤ARP报文， 8 * interface FastEthernet 0/1 switchport port-security mac-address 00d0.0000.0001 ip-address switchport port-security arp-check auto ! interface FastEthernet 0/2 switchport port-security mac-address 00d0.0000.0002 ip-address switchport port-security arp-check auto 8 * 由于非S21交换机ACE装载顺序的问题，在SAM环境下，本方法适用于S21系列交换机，对于非21交换机会导致安全通道中的用户获取到地址但学习不到ARP信息，非21交换机请使用IP Source guard功能。 8