锐捷（二十）DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案

        DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案：在用户PC动态获取IP地址的过程中，通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的，正确的IP与MAC信息记录到交换机的DHCP Snooping软件表；然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项（类似端口安全的绑定）；最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗，或者是非法用户私自配置静态的IP地址，他们的ARP校验都将失败，这样的用户将无法使用网络。   

具体配置如下所示：

1、开启DHCP Snooping并将连接DHCP服务器的端口设为信任：

Ruijie>enable     

Ruijie#configure terminal

Ruijie(config)#ip dhcp snooping     

Ruijie(config)#interface gigabitEthernet 0/24

Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trust

Ruijie(config-if-GigabitEthernet 0/24)#exit

2、连接终端接口开启IP Source Guard:

Ruijie(config)#interface range gigabitEthernet 0/1-16

Ruijie(config-if-range)#ip verify source port-security

3、连接终端接口开启arp-check:

Ruijie(config)#interface range gigabitEthernet 0/1-16

Ruijie(config-if-range)#arp-check

Ruijie(config-if-range)#end

DHCP Snooping + IP Source guard + ARP-check配置完成