DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。
具体配置如下所示:
1、开启DHCP Snooping并将连接DHCP服务器的端口设为信任:
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#ip dhcp snooping
Ruijie(config)#interface gigabitEthernet 0/24
Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trust
Ruijie(config-if-GigabitEthernet 0/24)#exit
2、连接终端接口开启IP Source Guard:
Ruijie(config)#interface range gigabitEthernet 0/1-16
Ruijie(config-if-range)#ip verify source port-security
3、连接终端接口开启arp-check:
Ruijie(config)#interface range gigabitEthernet 0/1-16
Ruijie(config-if-range)#arp-check
Ruijie(config-if-range)#end
DHCP Snooping + IP Source guard + ARP-check配置完成