本文主要针对当前校园交换局域网络中的MAC Flooding、ARP Spoofing及DHCP Spoofing等主要问题，简要叙述了基于CISCO产品的防范策略及配置方法。由于以上所提到的攻击和欺骗行为主要针对链路层和网络层，思科针对这些攻击已有一些解决方案，主要基于下面的几个关键的技术：

1、Port Security Feature（端口安全特性）

2、DHCP Snooping（DHCP嗅探）

3、IP Source Guard（IP源保护）

4、Dynamic ARP Inspection (DAI，动态ARP侦测)

Port Security Feature主要是防止CAM攻击和DHCP Starvation（地址耗尽）攻击；DHCP Spooping主要用来防范对DHCP Server主机的欺骗攻击；Dynamic ARP Inspection为了防止当前流行的ARP攻击；IP Source Guard则可以对IP/MAC欺骗作出有效的防范。下面部分主要针对如何组合运用和部署上述技术，而实现防止在交换环境中实施ARP攻击、MAC/CAM 攻击、DHCP 攻击、地址欺骗等内容。

Port Security：

通过对每个端口上接入MAC地址的数量限制，允许自定义通过哪些MAC地址并对违规地址进行处理等方式，来防止对交换机的CAM（交换机为了建立交换通路，主动学习并记录客户端的MAC地址，同时维护端口和客户机MAC地址的对应表，这个表就是CAM表）欺骗攻击；同时，Port Security对通过伪造大量MAC地址而实现的DHCP Starvation攻击的防范也十分有效。

DHCP Snooping：

DHCP Snooping是CISCO交换机上的安全特性之一，其定义了交换机上的信任端口和不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，通过建立和维护DHCP Snooping绑定表，过滤不可信任信息以及来自这些端口的非正常DHCP报文。对于不支持DHCP Snooping功能的交换机来说，可以通过配置交换机VLAN上的ACLs列表，来阻断UDP68端口的通信来实现（前提是要允许真正的服务器和路由等设备在UDP68端口的数据包正常通过）。

IOS 全局命令：

　　ip dhcp snooping vlan 4,104

　　ip dhcp snooping

接口命令

　　ip dhcp snooping trust //DHCP Snooping信任的服务器或端口配置命令

　　no ip dhcp snooping trust (Default) //DHCP Snooping非信任端的默认配置命令

　　ip dhcp snooping limit rate 10 (pps)

IP Source Guard：

    IP Source Guard使用DHCP snooping绑定表信息，配置在交换机端口上，并检测所有经过定义端口的报文。通过检查通过流量的IP址和MAC地址是否在DHCP snooping绑定表，不在绑定表中则阻塞这些流量。如果需要检查MAC，则需要DHCP服务器和路由器支持Option82信息。

检测接口上的IP

　　IOS 全局配置命令

　　ip dhcp snooping vlan 4,104

　　no ip dhcp snooping information option

　　ip dhcp snooping

　　接口配置命令：

　　ip verify source vlan dhcp-snooping

检测接口上的IP+MAC

　　IOS 全局配置命令：

　　ip dhcp snooping vlan 4,104

　　ip dhcp snooping information option

　　ip dhcp snooping

　　接口配置命令：

　　ip verify source vlan dhcp-snooping port-security

Dynamic ARP Inspection：

    Dynamic ARP Inspection (DAI)使用DHCP Snooping绑定表，交换机通过对所有的ARP请求数据包来源端口做IP+MAC匹配检测来确定请求是否合法，如果不合法则丢弃。对于个别的特殊机器（如服务器、路由器等配置的静态IP）可以采用手动添加ARP访问表来实现。DAI配置是针对VLAN操作，同一VLAN可以自定义DAI的开启和关闭，而其中某个端口的ARP请求报文数量也可以通过DAI控制。

IOS 全局命令：

　　ip dhcp snooping vlan 4,104

　　no ip dhcp snooping information option

　　ip dhcp snooping

　　ip arp inspection vlan 4,104

　　ip arp inspection log-buffer entries 1024

　　ip arp inspection log-buffer logs 1024 interval 10

IOS 接口命令：

no ip arp inspection trust(default)

ip arp inspection limit rate 15