产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【交换机】DHCP 动态获取IP地址环境下,交换机dot1x开启安全通道环境下如何防arp欺骗

发布时间:2013-09-25
点击量:6019

只能使用DHCP SNOOPING +DAI方案来防主机及网关的arp欺骗;

不能使用DHCP SNOOPING +IP Source Guard + arp-check来防arp欺骗(因为安全通道放通了网关的arp,无法防止下联的PC去欺骗网关),但是安全通道放通网关arp的情况下DHCP SNOOPING +IP Source Guard + arp-check方案可以在接口下配置anti-arp-spoofing ip x.x.x.x(x.x.x.x是网关IP)可以防止主机之间的arp欺骗,因为anti-arp-spoofing ip x.x.x.x命令优先级高于安全通道。

DHCP SNOOPING +DAI的配置如下

Ruijie(config)#ip dhcp snooping

Ruijie(config)#ip arp inspection vlan x 

Ruijie(config)#int g0/24   //上联接口设置为DHCP SNOOPING及DAI的信任口

Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trust

Ruijie(config-if-GigabitEthernet 0/24)#ip arp inspection trust

Ruijie(config-if-GigabitEthernet 0/24)#no nfpp arp-guard enable   //关闭上联接口的nfpp arp-guard功能,强烈建议在上联口关闭该功能

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式