1676093637,

问题描述：

请教，

在h3c交换机中，

配置防止客户机发出ARP网关欺骗的命令是什么的呀？

V5与V7的命令分别是什么的呀？

谢谢。

最佳答案

我觉得你这个需求在设备上打开发送免费arp功能就可以了。设备会定期广播网关的arp出去，告诉下面终端正确的网关mac。V5和V7都是这个命令。

进入接口视图

interface interface-type interface-number

-

开启定时发送免费ARP功能，并设置发送免费ARP报文的时间间隔

arp send-gratuitous-arp [ interval interval ]

缺省情况下，定时发送免费ARP功能处于关闭状态

设备怎么防止客户机发出网关欺骗呢？你说的是配置arp detection吗?

配置arp detection功能：

 V7： # 启用DHCP Snooping功能。

<SwitchB> system-view

[SwitchB] dhcp snooping enable

[SwitchB] interface gigabitethernet 1/0/3  

[SwitchB-GigabitEthernet1/0/3] dhcp snooping trust

[SwitchB-GigabitEthernet1/0/3] quit

# 在接口GigabitEthernet1/0/1上启用DHCP Snooping表项记录功能。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/1] quit

# 使能ARP Detection功能，对用户合法性进行检查。

[SwitchB] VLAN 10

[SwitchB-vlan10] arp detection enable

# 接口状态缺省为非信任状态，上行接口配置为信任状态，下行接口按缺省配置。

[SwitchB-vlan10] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] arp detection trust

[SwitchB-GigabitEthernet1/0/3] quit

V5：

# 配置DHCP Snooping功能。

<SwitchB> system-view

[SwitchB] dhcp-snooping

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] dhcp-snooping trust

[SwitchB-GigabitEthernet1/0/3] quit

# 使能ARP Detection功能，对用户合法性进行检查。

[SwitchB] vlan 10

[SwitchB-vlan10] arp detection enable

# 端口状态缺省为非信任状态，上行端口配置为信任状态，下行端口按缺省配置。

[SwitchB-vlan10] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] arp detection trust

[SwitchB-GigabitEthernet1/0/3] quit

配置arp detection功能： V7： # 启用DHCP Snooping功能。 <SwitchB> system-view [SwitchB] dhcp snooping enable [SwitchB] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] dhcp snooping trust [SwitchB-GigabitEthernet1/0/3] quit # 在接口GigabitEthernet1/0/1上启用DHCP Snooping表项记录功能。 [SwitchB] interface gigabitethernet 1/0/1 [SwitchB-GigabitEthernet1/0/1] dhcp snooping binding record [SwitchB-GigabitEthernet1/0/1] quit # 使能ARP Detection功能，对用户合法性进行检查。 [SwitchB] vlan 10 [SwitchB-vlan10] arp detection enable # 接口状态缺省为非信任状态，上行接口配置为信任状态，下行接口按缺省配置。 [SwitchB-vlan10] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] arp detection trust [SwitchB-GigabitEthernet1/0/3] quit V5： # 配置DHCP Snooping功能。 <SwitchB> system-view [SwitchB] dhcp-snooping [SwitchB] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] dhcp-snooping trust [SwitchB-GigabitEthernet1/0/3] quit # 使能ARP Detection功能，对用户合法性进行检查。 [SwitchB] vlan 10 [SwitchB-vlan10] arp detection enable # 端口状态缺省为非信任状态，上行端口配置为信任状态，下行端口按缺省配置。 [SwitchB-vlan10] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] arp detection trust [SwitchB-GigabitEthernet1/0/3] quit 差别就是V5默认开启dhcp表项记录，V7默认关闭，需要手动打开。

Ran 发表时间：

谢谢，这个案例应该是防止非法的DHCP服务器吧？我想要的是防止ARP欺骗攻击，客户机冒充网关导致其它客户机误以为它就是网关而存在的安全隐患，有什么办法在交换机上防护，意思是这样的，谢谢了。

studyfisher 发表时间：

,交换机如何防止arp攻击问题