发布时间:2013-09-25
点击量:6114只能使用DHCP SNOOPING +DAI方案来防主机及网关的arp欺骗;
不能使用DHCP SNOOPING +IP Source Guard + arp-check来防arp欺骗(因为安全通道放通了网关的arp,无法防止下联的PC去欺骗网关),但是安全通道放通网关arp的情况下DHCP SNOOPING +IP Source Guard + arp-check方案可以在接口下配置anti-arp-spoofing ip x.x.x.x(x.x.x.x是网关IP)可以防止主机之间的arp欺骗,因为anti-arp-spoofing ip x.x.x.x命令优先级高于安全通道。
DHCP SNOOPING +DAI的配置如下:
Ruijie(config)#ip dhcp snooping
Ruijie(config)#ip arp inspection vlan x
Ruijie(config)#int g0/24 //上联接口设置为DHCP SNOOPING及DAI的信任口
Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trust
Ruijie(config-if-GigabitEthernet 0/24)#ip arp inspection trust
Ruijie(config-if-GigabitEthernet 0/24)#no nfpp arp-guard enable //关闭上联接口的nfpp arp-guard功能,强烈建议在上联口关闭该功能
文档评价
