如何防止局域网和网段的ARP攻击

ARP攻击是局域网中常见的网络攻击的问题，这是一个需要在交换机上设置的问题。下面的例子是防止APR攻击从网络段的H3C交换机为例，介绍典型的开关设置方法。
针对假冒网关IP的ARP攻击
1层和二层交换机的抗攻击配置
网络拓扑就像一个图。
图1
3552p是一个三层的装置，其中IP：100.1.1.1是所有电脑的网关，并在3552p网关的MAC地址是000f-e200-3999。现在pc-b有ARP攻击的软件，现在有一些特殊的配置3026_a过滤出来的假冒网关IP ARP报文需要。
二层交换机，如3026c，您可以配置ACL
（1）全局配置拒绝所有源IP是网关的ARP消息（自定义规则）
aclnum5000
rule0deny0806ffff2464010101ffffffff40
rule1permit0806ffff24000fe2003999ffffffffffff34
rule0的目的是阻止整个3026c_a端口冒充网关的ARP报文，和蓝色部分64010101是网关的IP地址的16位二进制形式：100.1.1.1 = 64010101。
目的：为规则的上端口网关ARP报文被允许通过，和蓝色部分是MAC地址000f-e200-3999。网关3552
ACL规则是在s3026c-a系统视图发布。
{ } packet-filteruser-group5000 s3026c-a
在这种方式中，只有3026c_a装置可以发送网关的ARP报文，和其他电脑无法发送的假网关的ARP应答报文。
2层和三层交换机的抗攻击配置
网络拓扑如下所示：
图2
对于三层设备，您需要将过滤器源IP配置为网关ARP消息的ACL规则，配置以下ACL规则：
aclnum5000
rule0deny0806ffff2464010105ffffffff40
rule0的目的是禁止所有3526e港口冒充网关的ARP报文，和蓝色部分64010105是网关的IP地址的16位二进制形式：100.1.1.5 = 64010105。
二、模仿其他IP的ARP攻击
作为网关设备，ARP错误表很可能出现，网关设备需要过滤假冒IP的ARP攻击消息。
如图1所示，pc-b发送ARP攻击pc-d的回复邮件时，源MAC MAC pc-b（000d-88f8-09fa），和源IP是pc-d的IP（IP），其目的是连接网关到网关，使3552将错误的学习方法。
错误的ARP表--------------------------------数据交换贸易
ipaddressmacaddressvlanidportnameagingtype
100.1.1.4000d-88f8-09fa1ethernet0 / 220dynamic
100.1.1.3000f-3d81-45b41ethernet0 / 220dynamic
对pc-d ARP表项应该学习端口E0 / 8不应该学会对E0 / 2端口。
（1）在3552上配置静态ARP可以防止这种现象：
arpstatic100.1.1.3000f-3d81-45b41e0 / 8
同样，在图2中，静态ARP也可以配置为防止设备学习错误的ARP表项。

（3）两层设备（3050和3026系列），同时配置静态ARP、IP和MAC +端口绑定也可以配置，例如，在3026c端口4，
amuser-bindip-addr100.1.1.4mac-addr000d-88f8-09fainte0 / 4
IP和MAC 100.1.1.4 000d-88f8-09fa，ARP报文可以通过E0 / 4端口模拟和ARP报文不能通过其他设备，所以不会有错误的ARP表项。