学员提问:
一、对于阻止仿冒网关IP的arp攻击
过滤掉仿冒网关IP的arp报文
二层交换机防攻击配置举例
三层交换机防攻击配置举例
二、仿冒他人IP的arp攻击
作为网关的设备有可能会出现arp错误表项,在网关设备上对仿冒他人IP的arp攻击报文进行过滤。
捷盈讲师及学员解答:
可以使用 swichport port-security
switchport port-security maximum 4 限制MAC地址
switchport port-security 启用接口安全
switchport port-security aging time 2 MAC地址的老化时间
switchport port-security violation restrict 违规后drop数据包
还有 和 DAI( Dynamic ARP Inspection )这个技术 联合使用
DAI配置
sw(config)# ip arp inspection vlan 100(前提还需要配置ip dhcp snooping相关配置或者手动绑定ip source binding Mac vlan ip interface 的关系)
sw(config)# interface Gi1/1
sw(config)# ip arp inspection trust (一般配在可以违规的接口上 例如uplinks口)