文档介绍::..防止同网段ARP欺骗攻击的配置方法二层交换机实现仿冒网关的ARP防攻击:一、 组网需求:、 组网图:.....,其中IP:,S3552P上的网关MAC地址为000f-e200-3999oPC-B±装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置,口的是过滤掉仿冒网关IP的ARP报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机,可以配置ACL来进行ARP报文过滤。全局配置ACL禁止所有Senderipaddress字段是网关IP地址的ARP报文aclnum5000rule0deny0806ffff2464010101ffffffff40rule1permit0806ffff24000fe2003999ffffffffffff34其中ruleO把整个S3026C_A的端口冒充网关的ARPReply报文禁掉,。Rulel允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999o注意:配置Rule吋的配置顺序,上述配置为先下发后生效的情况。在S3026C-A系统视图下发acl规则:[S3026C-A]packet-filteruser-group5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。三层交换机实现仿冒网关的ARP防攻击一、 组网需求:、 、,需要配置过滤Senderipaddress字段是网关的ARP报文的ACL规则,配置如下ACL规则:aclnumber5000rule0deny0806ffff2464010105mm40ruleO禁止S3526E的所有端口接收冒充网关的ARP报文,。[S3526E]packet-filteruser-group5000仿冒他人IP的ARP防攻击一、 组网需求:作为网关的设备有可能会出现错误ARP的表项,I大I此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤。二、 组网图:参见图1和图2三、 配置步骤:,当PC-B发送源IP地址为PC-D的arpreply攻击报文,源mac是PC-B的mac(000d-88f8・09fa),源ip是PC-D的ip(),0的ip和mac是网关(3552P)的,这样3552上就会学****到错误的arp,如下所示:错谋arp表项IPAddressM