交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
只能使用DHCP SNOOPING +DAI方案来防主机及网关的arp欺骗;
不能使用DHCP SNOOPING +IP Source Guard + arp-check来防arp欺骗(因为安全通道放通了网关的arp,无法防止下联的PC去欺骗网关),但是安全通道放通网关arp的情况下DHCP SNOOPING +IP Source Guard + arp-check方案可以在接口下配置anti-arp-spoofing ip x.x.x.x(x.x.x.x是网关IP)可以防止主机之间的arp欺骗,因为anti-arp-spoofing ip x.x.x.x命令优先级高于安全通道。
DHCP SNOOPING +DAI的配置如下:
Ruijie(config)#ip dhcp snooping
Ruijie(config)#ip arp inspection vlan x
Ruijie(config)#int g0/24 //上联接口设置为DHCP SNOOPING及DAI的信任口
Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trust
Ruijie(config-if-GigabitEthernet 0/24)#ip arp inspection trust
Ruijie(config-if-GigabitEthernet 0/24)#no nfpp arp-guard enable //关闭上联接口的nfpp arp-guard功能,强烈建议在上联口关闭该功能