Cisco sw 针对ARP攻击的相关安全设置:
    (二层SW即可)
    一法:(基于SW端口MAC地址绑定,主要是使一个端口对应一台主机,该端口只允许该主机的MAC地址经过)
    Switch#conf t
    Switch(config)#mac-address-table static [该端口所连主机的MAC地址] vlan 1 interface f0/1 /* 划分有几个vlan,则将其中的vlan 1改为 vlan [vlan ID] ,    接口其他的都设置同 fa0/1 */
    Switch(config)#interface fa0/1
    Switch(config-if)#swtichport mode access
    /*设置该端口为访问模式,又称接入端口,只能在接入端口上启用端口安全性,下一步就是启用端口安全性 */
    Switch(config-if)#switchport port-security maximum 1 /* 启用端口安全性,并且只允许一台设备接入.如果 要让交换机允许多个地址连接该接口,只需将maximum 后的数值设为指定的数值即可,最大允许132个地址*/
    Switch(config-if)#swtichport port-security mac-address [该端口所接主机的MAC地址] /*配置 fa0/1端口要绑定的主机的MAC地址,只有该MAC地址可连接该端口*/      Switch(config-if)#exit
    Switch(config)#swtichport port-security violation shutdown /*该端口违规,有其他MAC地址接入则强制关闭 */
    二法:(基于MAC地址的访问控制)
    Switch(config)#mac access-list extended mac1
    Switch(config)#permit host [MAC address] any
    Swtich(config)#int fa0/1
    Swtich(config-if)#mac access-group mac1 in
    三法:(同时绑定IP同MAC地址到ACL)
    Switch(config)#mac access-list extended mac1
    Switch(config)#permit host [MAC address] any
    Switch(config)#permit any host [MAC address]
    Switch(config)#ip access-list extended ip1
    Switch(config)#peirmit [ip] 0.0.0.0 any
    Switch(config)#permit any [ip] 0.0.0.0
    Switch(config)#int f0/1
    Switch(config-if)# mac acess-group mac1 in
    Switch(config-if)#ip access-group ip1 inPS: 此三法之外,还采用过一个在端口上设置arp -s [ip] [MAC]的方法。

    考试大温馨提示：本内容来源于网络，仅代表作者个人观点，与本站立场无关，仅供您学习交流使用。其中可能有部分文章经过多次转载而造成文章内容缺失、错误或文章作者不详等问题，请您谅解。如有侵犯您的权利，请联系我们，本站会立即予以处理。

    编辑推荐：

    cisco路由器IP流量的获取 

    100G系统中的关键技术

    企业如何正确选择第三层交换机