ARP防攻击策略探究.docVIP

配置ARP攻击防御 2.2.1? ARP攻击防御配置任务简介 表2-1 ARP攻击防御配置任务简介 配置任务 交换机角色 说明 详细配置 配置VLAN接口学习动态ARP表项的最大数目 网关设备 可选 HYPERLINK /Service/Document_Center/IP_Network_Product/Switches/S3600/S3600-EI/Configure/Operation_Manual/H3C_S3600_OM-Release_1702(V1.01)/201004/673001_30005_0.htm \l _Ref212884445#_Ref212884445 2.2.2? 配置ARP报文源MAC一致性检查功能 网关设备、接入设备 可选 HYPERLINK /Service/Document_Center/IP_Network_Product/Switches/S3600/S3600-EI/Configure/Operation_Manual/H3C_S3600_OM-Release_1702(V1.01)/201004/673001_30005_0.htm \l _Ref212344913#_Ref212344913 2.2.3? 配置基于网关IP/MAC的ARP报文过滤功能 接入设备 可选 HYPERLINK /Service/Document_Center/IP_Network_Product/Switches/S3600/S3600-EI/Configure/Operation_Manual/H3C_S3600_OM-Release_1702(V1.01)/201004/673001_30005_0.htm \l _Ref212344921#_Ref212344921 2.2.4? 配置ARP入侵检测功能 网关设备、接入设备 可选 HYPERLINK /Service/Document_Center/IP_Network_Product/Switches/S3600/S3600-EI/Configure/Operation_Manual/H3C_S3600_OM-Release_1702(V1.01)/201004/673001_30005_0.htm \l _Ref212344932#_Ref212344932 2.2.5? 配置ARP报文限速功能 网关设备、接入设备 可选 HYPERLINK /Service/Document_Center/IP_Network_Product/Switches/S3600/S3600-EI/Configure/Operation_Manual/H3C_S3600_OM-Release_1702(V1.01)/201004/673001_30005_0.htm \l _Ref212344942#_Ref212344942 2.2.6? ? 2.2.2? 配置VLAN接口学习动态ARP表项的最大数目 表2-2 配置VLAN接口学习ARP表项的最大数目 操作 命令 说明 进入系统视图 system-view - 进入VLAN接口视图 interface Vlan-interface vlan-id - 配置VLAN接口学习动态ARP表项的最大数目 arp max-learning-num number 可选 缺省情况下，S3600-EI系列以太网交换机取值为4031，S3600-SI系列以太网交换机取值为2048 ? 2.2.3? 配置ARP报文源MAC一致性检查功能 表2-3 配置ARP报文源MAC一致性检查 操作 命令 说明 进入系统视图 system-view - 开启ARP报文源MAC一致性检查功能 arp anti-attack valid-check enable 必选 缺省情况下，交换机ARP报文源MAC一致性检查功能处于关闭状态 ? 2.2.4? 配置基于网关IP/MAC的ARP报文过滤功能 表2-4 配置基于网关IP地址的ARP报文过滤功能 操作 命令 说明 进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 配置基于网关IP地址的ARP报文过滤功能 arp filter source ip-address 必选 缺省情况下，没有配置基于网关IP地址的ARP报文过滤功能 ? 表2-5 配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能 操作 命令 说明 进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 配置基于网关IP地址、M