源IP地址防护:防止IP地址伪造(只在三层交换机上可用)
先绑定IP,网卡,接口
ip source binding 网卡地址 vlan vlan号 ip地址 inter fa0/1 (接口)
然后在接口下应用:
inter fa0/1等
ip verify source [port-security]
默认情况下只检查源IP,要同时检查MAC,可用关键字port-security
防范ARP欺骗(验证应答是不是网关IP---网关MAC):
只在三层交换机上可配置
ip arp inspection vlan 104 (在某网段上使用)
arp acces-list staticarp
permit ip host 192.168.1.1 mac host 0005.0003.2001 (配置访问列表)
ip arp inspection filter staticarp vlan 104(ARP访问列表应用)
inter gi0/1
ip arp inspection trust (开启上连口信任)