为了防止ARP中间人攻击，接入交换机支持将收到的ARP(请求与回应)报文重定向到CPU，结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理，具体如下。

    当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配，且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致，则为合法ARP报文，进行转发处理。

    当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配，或ARP报文的入端口，入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致，则为非法ARP报文，直接丢弃，并通过Debug打印出丢弃信息提示用户。

ARP入侵检测功能示意图
    
    手工配置IP静态绑定表项

    DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息，如果用户手工配置了固定IP地址，其IP地址、MAC地址等信息将不会被DHCP Snooping表记录，因此不能通过基于DHCP Snooping表项的ARP入侵检测，导致用户无法正常访问外部网络。

    为了能够让这些拥有合法固定IP地址的用户访问网络，交换机支持手工配置IP静态绑定表的表项，即：用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。以便正常处理该用户的报文。

    ARP信任端口设置

    由于实际组网中，交换机的上行口会接收其他设备的请求和应答的ARP报文，这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题，交换机支持通过配置ARP信任端口，灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测，对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。

上一页  [1] [2] [3] 下一页

    IP过滤功能

    IP过滤功能是指交换机可以通过DHCP Snooping表项和手工配置的IP静态绑定表，对非法IP报文进行过滤的功能。

    在端口上开启该功能后，交换机首先下发ACL规则，丢弃除DHCP报文以外的所有IP报文。(同时，需要考虑DHCP Snooping信任端口功能是否启动。如果没有启动，则丢弃DHCP应答报文，否则，允许DHCP应答报文通过。)接着，下发ACL规则，允许源IP地址为DHCP Snooping表项或已经配置的IP静态绑定表项中的IP地址的报文通过。

    交换机对IP报文有两种过滤方式：

    根据报文中的源IP地址进行过滤。如果报文的源IP地址、接收报文的交换机端口号与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致，则认为该报文是合法的报文，允许其通过;否则认为是非法报文，直接丢弃。

    根据报文中的源IP地址和源MAC地址进行过滤。如果报文的源IP地址、源MAC地址、接收报文的交换机端口号，与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致，则认为该报文是合法的报文，允许其通过;否则认为是非法报文，直接丢弃。

    DHCP/ARP报文限速功能

    为了防止DHCP报文泛洪攻击，接入交换机支持配置端口上对DHCP/ARP报文的限速功能。开启该功能后，交换机对每秒内该端口接收的DHCP/ARP报文数量进行统计，如果每秒收到的报文数量超过设定值，则认为该端口处于超速状态(即受到攻击)。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免设备受到大量报文攻击而瘫痪。

    同时，设备支持配置端口状态自动恢复功能，对于配置了报文限速功能的端口，在其因超速而被交换机关闭