IP防ARP欺骗配置分析和总结.docx

静态IP防ARP欺骗配置：

一、启用arp-check的功能在全局配置模式下开启ARP-CHECK功能S2126G-2(config)#port-securityarp-check

二、启用anti-arp-spoofing功能

S2126G-2(config-if)#anti-ARP-Spoofingip网关地址

三、启用端口安全并手动绑定IP与MACS2126G-2(config)#intf0/3 //进入接口3

S2126G-2(config-if)#switchportport-security //启用端口安全

S2126G-2(config-if)#switchportport-securitymac-address4444.4444.4444ip-address192.168.44.55 //在接口下绑定PC的IP与MAC

S2126G-2(config-if)#switchportport-securitymaximum1 //设置此端口最多学习1个MAC

地址，那么此接口不会再去学习其它的MAC地址了。注：若此接口增加PC。必须在交换机的对应接口上将IP与MAC绑定一下。例如：PC的IP：192.168.44.57MAC：2222.2222.2222

S2126G-2(config)#intf0/3

S2126G-2(config-if)#switchportport-securitymaximum2//将最大学习MAC地址的值改设为

2，否则将无法绑定新机器

S2126G-2(config-if)#switchportport-securitymac-address2222.2222.2222ip-address192.168.44.57

配置文件如下：

Buildingconfiguration...

Currentconfiguration:451bytes

!

version1.0

!

hostnameS2126G-2vlan1

!

port-securityarp-checkinterfacefastEthernet0/3

Anti-ARP-Spoofingip192.168.44.1switchportport-security

switchportport-securitymaximum2

switchportport-securitymac-address4444.4444.4444ip-address192.168.44.55

switchportport-securitymac-address2222.2222.2222ip-address192.168.44.57

!

endSwitch#

动态IP防ARP欺骗配置：

一、启用arp-check的功能在全局配置模式下开启ARP-CHECK功能S2126G-2(config)#port-securityarp-check

二、启用DHCP中继S2126G-2(config)#servicedhcp

S2126G-2(config)#iphelper-address192.168.44.5

三、启用端口安全

S2126G-2(config)#intf0/3

S2126G-2(config-if)#switchportport-security

四、启用端口自动绑定功能

S2126G-2(config-if)#servicedhcpaddress-bindport

配置文件如下：

S2126G-2#shru

Systemsoftwareversion:1.68BuildApr252007ReleaseBuildingconfiguration...

Currentconfiguration:195bytes

!

version1.0

!

hostnameS2126G-2vlan1

!

port-securityarp-checkservicedhcp

servicedhcpaddress-bindportiphelper-address192.168.44.5interfacefastEthernet0/5switchportport-security