1阻止仿冒网关IP的HYPERLINK"http://www.vlan9.com/network/d19/index.html"\t"_blank"arp攻击 1.1二层交换机实现防攻击 1.1.1配置组网 baidu 图1二层交换机防HYPERLINK"http://www.vlan9.com/network/d24/index.html"\t"_blank"ARP攻击组网 S3552P是三层设备，其中IP：100.1.1.1是所有PC的网关，S3552P上的网关HYPERLINK"http://www.vlan9.com/network/d847/index.html"\t"_blank"MAC地址为000f-e200-3999.PC-B上装有ARP攻击软件。现在需要对S3026_A进行一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。 1.1.2配置步骤 对于二层交换机如S3026C等支持用户自定义HYPERLINK"http://www.vlan9.com/network/d651/index.html"\t"_blank"ACL（number为5000到5999）的交换机，可以配置ACL来进行ARP报文过滤。 全局配置ACL禁止所有源IP是网关的ARP报文 aclnum5000 rule0deny0806ffff2464010101ffffffff40 rule1permit0806ffff24000fe2003999ffffffffffff34 其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。Rule1允许通过网关发送的ARP报文，斜体部分为网关的mac地址000f-e200-3999. 注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。 在S3026C-A系统视图下发HYPERLINK"http://www.vlan9.com/network/d651/index.html"\t"_blank"acl规则： [S3026C-A]packet-filteruser-group5000 这样只有S3026C_A上连HYPERLINK"http://www.vlan9.com/network/d1565/index.html"\t"_blank"网关设备才能够发送网关的HYPERLINK"http://www.vlan9.com/network/d19/index.html"\t"_blank"ARP报文，其它主机都不能发送假冒网关的arp响应报文。 1.2HYPERLINK"http://www.vlan9.com/network/d430/index.html"\t"_blank"三层交换机实现防攻击 1.2.1配置组网 baidu 图2HYPERLINK"http://www.vlan9.com/network/d1438/index.html"\t"_blank"三层交换机防HYPERLINK"http://www.vlan9.com/network/d24/index.html"\t"_blank"ARP攻击组网 1.2.2防攻击配置举例 对于三层设备，需要配置过滤源IP是网关的ARP报文的ACL规则，配置如下ACL规则： aclnumber5000 rule0deny0806ffff2464010105ffffffff40 rule0禁止S3526E的所有端口接收冒充网关的ARP报文，其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。 2仿冒他人IP的arp攻击 作为网关的设备有可能会出现ARP错误表项，因此在网关设备上还需对仿冒他人IP的ARP攻击报文进行过滤。 如图1所示，当PC-B发送源IP地址为PC-D的arpreply攻击报文，源mac是PC-B的mac（000d-88f8-09fa），源ip是PC-D的ip（100.1.1.3），目的ip和mac是网关（3552P）的，这样3552上就会学习错误的arp，如下所示： ---------------------错误arp表项-------------------------------- IPAddressMACAddressVLANIDPortNameAgingType 100.1.1.4000d-88f8-09fa1Ethernet0/220Dynamic 100.1.1.3000f-3d81-45b41Ethernet0/220Dynamic 从HYPERLINK"http://www.vlan9.com/network/d512/in