CISCO系列配置方法

　　我们采用CISCO的DAI功能（动态ARP检查，Dynamic ARP Inspection）保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联，动态ARP检测可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP)，确保应答来自真正的ARP所有者，这通过检查端口记录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者，不合法的ARP包将被删除。

　　对于同一VLAN内的接口可以开启DAI也可以关闭该功能，如果ARP包从一个可信任的接口接受到，就不需要做任何检查，如果ARP包在一个不可信任的接口上接收到，该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样，DHCP Snooping对于DAI来说也成为必不可少的，DAI是动态使用的，相连的客户端主机不需要进行任何设置上的改变。而对于那些没有使用DHCP的服务器可以采用静态添加DHCP绑定表或ARP access-list实现。

　　另外，通过DAI可以控制某个端口的ARP请求报文频率，一旦ARP请求的频率超过预先设定的阈值，交换机会立即关闭该端口，该功能可以阻止网络扫描工具的使用，同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。

　　配置范例

　　IOS全局命令：

　　ip dhcp snooping vlan 100,200 /*定义对哪些VLAN进行DHCP的报文检测*/

　　no ip dhcp snooping information option

　　ip dhcp snooping /*全局开启DHCP检查功能*/

　　ip arp inspection vlan 100,200 /*定义对哪些VLAN进行ARP报文检测*/

　　ip arp inspection log-buffer entries 1024

　　ip arp inspection log-buffer logs 1024 interval 10

　　IOS网络接口命令： //例如#intface FastEthernet 0/1

　　ip dhcp snooping trust

　　ip arp inspection trust /*定义哪些接口是信任接口，通常是网络设备接口，上联的TRUNK接口等*/

　　ip arp inspection limit rate 15 (pps) /*定义接口每秒ARP报文数量*/

　　对于没有使用DHCP设备可以采用下面办法：

　　arp access-list static-arp

　　permit ip host 10.66.227.5 mac host 0009.6b88.d387

　　ip arp inspection filter static-arp vlan 201

　　对于采用CISCO二层交换机接入的网络（例如采用Cisco 2950、2960接入的地方），我们可以采用PVLAN的来实现以上的功能。首先开启每台交换机上的PVLAN或端口隔离功能 ，使得同一VLAN内的端口之间在二层上无法交换信息。然后在汇聚交换机上开启PVLAN功能，使得交换机可以对同一VLAN内的不同地址之间进行网络路由，此外，开启汇聚交换机上的DHCP Snooping和DAI功能，这样就可以使二层交换机防范ARP的病毒攻击。

　　CISCO的汇聚交换机4500系列、6500系列、7600系列都是采用专用硬件芯片来进行DHCP Snooping和DAI检测的，对报文的转发性能基本没有任何影响。采用这种方式只要二层交换机支持端口隔离即可，不需要是CISCO品牌的交换机。

　　H3C交换机配置方法

　　H3C 3000系列二层接入交换机、3600系列弱三层交换机、E3教育专卖系列弱三层交换机等均可以支持DCHP Snooping以及Arp检测功能。

　　目前的H3C交换机出厂时的软件不支持ARP Detection功能，必须更新交换机软件，使之支持ARP detection，具体软件可以向H3C公司索取，升级完成后，其配置方法如下：

　　dhcp-snooping//全局命令下开启DHCP Snooping功能

　　vlan 272

　　arp detection enable//对Vlan 272开启Arp检测功能

　　interface GigabitEthernet1/1 //对于上联的接口

　　dhcp-snooping tru//信任此接口上的DHCP响应报文

　　arp detection trust //信任此端口上的ARP报文

　　这样，就可以在接入交换机上将ARP病毒的攻击过滤掉，保证网络的稳定。

　　非主流交换机配置方法

　　对于其他采用低端交换机或傻瓜交换机以及HUB的地方，可以采用一种第三方产品，如一个叫IP Scan的设备，此设备采用旁路的形式监听需要进行ARP检测的网络，对于ARP的每一个报文，此设备都要鉴别其真伪，例如A机器宣告1.2.3.4的IP地址所对应的MAC地址为11.22.33.44.55.66，就会立即发送一个报文同A机器进行通讯，如果A机器能够应答，证明A机器的Arp应答是一个真实的应答，否则就是一个伪造的应答信息，则采用某种策略抑制此报文的传播。

　　以上几种方式是我校在实践中的应用，基本上消除了校内的ARP病毒攻击，维护了校内的上网秩序。

　　来源：《中国教育网络》