1676093624,

问题描述：

请教，

在h3c交换机中，

配置防止客户机发出ARP网关欺骗的命令是什么的呀？

V5与V7的命令分别是什么的呀？（我想要的是防止ARP欺骗攻击，客户机冒充网关导致其它客户机误以为它就是网关而存在的安全隐患，有什么办法在交换机上防护，意思是这样的）

谢谢。

最佳答案

 http://www.h3c.com/cn/d_

  ARP网关保护功能简介

在设备上不与网关相连的接口上配置此功能，可以防止伪造网关攻击。

在接口上开启此功能后，当接口收到ARP报文时，将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同，则认为此报文非法，将其丢弃；否则，认为此报文合法，继续进行后续处理。

1.11.2  开启ARP网关保护功能

开启ARP网关保护功能，需要注意：

·     每个接口最多支持配置8个被保护的网关IP地址。

·     不能在同一接口下同时配置命令arp filter source和arp filter binding。

·     本功能与ARP Detection、MFF、ARP Snooping和ARP快速应答功能配合使用时，先进行本功能检查，本功能检查通过后才会进行其他配合功能的处理。

表1-20 开启ARP网关保护功能

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网接口/二层聚合接口视图

interface interface-type interface-number

-

开启ARP网关保护功能，配置被保护的网关IP地址

arp filter source ip-address

缺省情况下，ARP网关保护功能处于关闭状态

 

1.11.3  ARP网关保护功能配置举例

1. 组网需求

与Device B相连的Host B进行了仿造网关Device A（IP地址为10.1.1.1）的ARP攻击，导致与Device B相连的设备与网关Device A通信时错误发往了Host B。

要求：通过配置防止这种仿造网关攻击。

2. 组网图

图1-6 配置ARP网关保护功能组网图

‌

3. 配置步骤

# 在Device B上开启ARP网关保护功能。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] arp filter source 10.1.1.1

[DeviceB-GigabitEthernet1/0/1] quit

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] arp filter source 10.1.1.1

非常感谢。

studyfisher 发表时间：

另外想问一下，这个是Ｖ５还是Ｖ７的命令的呀？

studyfisher 发表时间：

该问题暂时没有网友解答

,交换机防护ARP欺骗的问题？