思科华为交换机防止ARP欺骗

    最近，机房的服务器总是对外发包，经检测发现，ARP欺骗居多，还好，之前学NP的时候学过防ARP欺骗的方法，正好也借此将防止ARP欺骗的配置发表出来。

 

思科防ARP欺骗，采用端口安全

思科端口安全在违反安全规则后有三种处理模式，有两种解决方案

三种处理模式：

Shudown 这种方式保护能力最强，但是对于一些情况可能会为管理带来麻烦，如某台设备中了病毒，病毒间断性伪造源MAC在网络中发送报文。

Protect  丢弃非法流量，不报警

Restrict 丢弃非法流量，报警，对不上面会是交换机CPU利用率上升但是不影响交换机的正常使用。推荐使用这种方式。

两种解决方案：

      MAC+IP绑定  

      设置最大学习MAC数量

一.MAC+IP绑定，此方法虽好，但是需要手工去登记各服务器MAC地址，太耗费人力。

配置方法：

1.进接口模式 

2.switchport port-security  //开启端口安全，此命令必敲，否则后面的配置不生效

3.switchport port-security mac-address aabb.ccdd.eeff //设置此端口下对应的MAC地址

4.switchport port-security violation restrict  //设置违规方式为丢弃并报警

二.设置学习多少MAC地址后丢弃其他的ARP流量

1.进接口模式

2.switchport port-security //同上，必敲

3.switchport port-security maximum 5 //设置最多学习5个MAC地址

4.switchport port-security violation restrict //设置学习超过5个MAC地址后，将其他的ARP流量丢弃并报警。

 

 

华为交换机设置防ARP欺骗

 

1.进接口模式 int e0/3

2.mac-address max-mac-count 5  //设置最多学习5个MAC地址