网络工程师必须了解的ARP知识

出口ARP检测就是通过减少VLAN内广播报文较少CPU的负担。其核心原理是根据DHCP Snooping表查找目的IP地址对应的出接口，将ARP请求报文直接从查找到的出接口发送出去，减少VLAN内广播的ARP报文，从而减少CPU的负担。

出口ARP检测功能主要是为了减少网关设备处理的ARP报文个数。如图1所示，通过在L2switch上使能出口ARP检测功能，可以在L2switch广播ARP请求报文之前，查找DHCP Snooping绑定表，如果能够找到ARP报文中目的IP地址对应的出接口，则将ARP请求报文从找到的出接口发送出去，有效减少网关收到的ARP请求报文数量。

出口ARP检测功能配置方法如下：

[L2switch] dhcp enable //全局使能DHCP功能 
[L2switch] dhcp snooping enable //全局使能DHCP Snooping功能 
[L2switch] vlan 10  
[L2switch-vlan10] dhcp snooping enable  
[L2switch-vlan10] dhcp snooping arp security enable //使能出口ARP检测功能 

2. 保证ARP表项的正确性

(1) 防止仿冒网关攻击

提供下面几种方法防止仿冒网关的攻击

配置方法如下：

配置网关定时发送免费ARP报文。

[Gateway] arp gratuitous-arp send enable //使能发送免费ARP报文，默认是发送时间间隔是30秒 

配置ARP防网关冲突检测。

[Gateway] arp anti-attack gateway-duplicate enable 

配置ARP网关保护功能。

[L2switch] interface gigabitethernet 0/0/1  
[L2switch-GigabitEthernet0/0/1] arp filter source 10.1.1.1 //被保护的网关IP地址是10.1.1.1 

(2) 防止仿冒合法用户攻击

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!