锐捷ruijie交换机如何配置防ARP欺骗（静态环境）

一、组网需求

      要求内网使用静态绑定的方式防止内网的arp欺骗

二、配置要点：

• 要双向绑定，即在电脑上和网关设备绑定arp。

• 电脑上绑定arp重启后失效，建议使用脚本命令绑定。

三、配置步骤：

1）在用户电脑上绑定arp信息

非windows 7的微软系统

      windows 7系统

**：首先查出你的当前使用网卡物理接口ID  C:\Users\asus>netsh i i show in 如图所示ID号为11

第二步：> netsh -c "i i" add neighbors 11 "192.168.1.1" "00-27-19-50-72-3c" 通过此命令进行绑定

2)在网关设备上，绑定下联用户的ip+MAC信息

**种方法：静态绑定arp

第二种方法：端口安全+arp+check

注意：配置之前建议使用 Ruijie#show interface status查看接口名称，常用接口名称有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(万兆),以下配置以百兆接口为例。

            1、配置端口安全，命令可以参考： 安全功能---端口安全典型案例

Ruijie>enable 

Ruijie#configure terminal

Ruijie(config)#interface FastEthernet 0/1

Ruijie(config-if-FastEthernet 0/1)#switchport port-security mac-address 00d0.0000.0001 ip-address 192.168.0.1

Ruijie(config-if-FastEthernet 0/1)#switchport port-security

2、开启arp-check功能

版本10.2(5)之前的配置命令：

Ruijie(config-if-FastEthernet 0/1)#arp-check auto

版本10.4 的配置命令：

Ruijie(config-if-FastEthernet 0/1)#arp-check

S21系列需要在全局模式下开启arp-check功能

S2126G(config)#port-security arp-check

3)保存配置

Ruijie(config)#end          

Ruijie#write                   ------>可以分配的地址是192.168.2.1~192.168.2.254确认配置正确，保存配置

四、验证命令

Ruijie#show port-security  address    查看全局的端口安全绑定信息

Vlan Mac Address     IP Address                               Type       Port     Remaining Age

                                                                                  (mins)

---- --------------- ---------------------------------------- ---------- -------- -------------

1     00d0.0000.0001 192.168.0.1                              Configured Fa0/1            - 

Ruijie#show port-security  interface fastEthernet 0/1  查看接口的端口安全配置信息 

Interface : FastEthernet 0/1

Port Security : Enabled

Port status : down

Violation mode : Protect

Maximum MAC Addresses : 128

Total MAC Addresses : 0

Configured Binding Addresses : 1

Configured MAC Addresses : 0

Aging time : 0 mins

SecureStatic address aging : Disabled

查看arp-check绑定列表

10.4版本

Ruijie#show interfaces arp-check list  

Interface  Sender MAC         Sender IP        Policy Source

---------- --------------     ---------------  --------------------

Fa0/1      00d0.0000.0001   192.168.0.1      port-security

其他10.x版本

Ruijie#sho port-security address all

Vlan Port     Arp-Check  Mac Address    IP Address             Type       Remaining Age(mins)

---- -------- ---------- -------------- ----------------     ----------     --------------

1    Fa0/1    Enabled    00d0.0000.0001 192.168.0.1         Configured         -