锐捷交换机防止ARP欺骗配置

锐捷低端交换机防止ARP欺骗配置
2008/09/24
交换机型号:S3550,S2150,S2126，电脑IP地址为静态地址。

1.交换机地址绑定（address-bind）功能
S2126#conf
S2126(config)# address-bind 172.16.40.101 0016.d390.6cc5
----绑定ip地址为172.16.40.101 MAC地址为0016.d390.6cc5的主机让其使用网络
S2126(config)#end ----退回特权模式
S2126# wr ----保存配置
(1. 如果修改ip或是MAC地址该主机则无法使用网络，可以按照此命令添加多条，添加的条数跟交换机的硬件资源有关
(2. S21交换机的address-bind功能是防止Ip冲突，只有在交换机上绑定的才进行ip和MAC 的匹配，如果下边用户设置的ip地址在交换机中没绑定，交换机不对该数据包做控制，直接转发。

(3.交换机对已经绑定的IP进行MAC检查，如果不相同，丢弃该帧；对没有绑定的不检查，并照样转发该报文,建议在核心层层使用.
2. 交换机防主机欺骗用功能
S2126#conf
S2126(config)# int g0/23
----进入第23接口，准备在该接口绑定用户的MAC和ip地址
S2126(config-if)#switchport port-security maximum 1设置最大mac地址绑定数量,适合该口下只接一台电脑.
S2126(config-if)# switchport port-security mac-address 0016.d390.6cc5 ip-address 172.16.40.101 ----在23端口下绑定ip地址是172.16.40.101 MAC地址是0016.d390.6cc5的主机，确保该主机可以正常使用网络，如果该主机修改ip或者MAC地址则无法使用网络，可以添加多条来实现对接入主机的控制
S2126(config-if)# switchport port-security ----开启端口安全功能
S2126(config)#end ----退会特权模式
S2126# wr ----保存配置
注释：可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数，安全地址的个数跟交换机的硬件资源有关,建议在接入层上使用该项.
3 防网关欺骗.
S2126#conf
S2126(config)# int ran fa 0/1-24
S2126(config)# anti-arp-spoofing ip 172.16.40.254 ------设置为网关IP地址. 过滤掉所有自称是该IP的ARP报文.
4.过滤发伪造ARP包的某个MAC地址.
S2126#conf
S2126(config-if)# mac-address-table filtering 0014.2a6e.7ff7 vlan 3
5.防止客户机改IP地址.
S2126#conf
S2126(config-if)#arp 172.16.40.101 0016.d390.6cc5 arpa gi0/1
------将IP地址与MAC地址绑定,生成静态ARP地址表.
S2126(config-if)#exit
S2126#sh arp
172.16.40.101 - 0016.d390.6cc5 arpa VL2
--------arp地址表显示为静态绑定.。