Cisco sw 针对ARP***的相关安全设置:
(二层SW即可)
一法:(基于SW端口MAC地址绑定,主要是使一个端口对应一台主机,该端口只允许该主机的MAC地址经过)
     Switch#conf t
     Switch(config)#mac-address-table static [该端口所连主机的MAC地址] vlan 1 interface f0/1  /* 划分有几个vlan,则将其中的vlan 1改为 vlan [vlan ID] ,   接口其他的都设置同 fa0/1 */
     Switch(config)#interface fa0/1
     Switch(config-if)#swtichport mode access   /*设置该端口为访问模式,又称接入端口,只能在接入端口上启用端口安全性,下一步就是启用端口安全性 */
     Switch(config-if)#switchport port-security maximum 1  /* 启用端口安全性,并且只允许一台设备接入.如果 要让交换机允许多个地址连接该接口,只需将maximum 后的数值设为指定的数值即可,最大允许132个地址*/
      Switch(config-if)#swtichport port-security mac-address [该端口所接主机的MAC地址]  /*配置 fa0/1端口要绑定的主机的MAC地址,只有该MAC地址可连接该端口*/
      Switch(config-if)#exit
      Switch(config)#swtichport port-security violation shutdown  /*该端口违规,有其他MAC地址接入则强制关闭 */
 
二法:(基于MAC地址的访问控制)
   Switch(config)#mac access-list extended mac1
   Switch(config)#permit host [MAC address] any
   Swtich(config)#int fa0/1
   Swtich(config-if)#mac access-group mac1 in
 
三法:(同时绑定IP同MAC地址到ACL)
   Switch(config)#mac access-list extended mac1
   Switch(config)#permit host [MAC address] any
   Switch(config)#permit any host [MAC address]
   Switch(config)#ip access-list extended  ip1
   Switch(config)#peirmit [ip] 0.0.0.0 any
   Switch(config)#permit any [ip] 0.0.0.0
   Switch(config)#int f0/1
   Switch(config-if)# mac acess-group mac1 in
  Switch(config-if)#ip access-group ip1 in
 
PS: 此三法之外,还采用过一个在端口上设置arp -s [ip] [MAC]的方法, 觉得这个简单一点,事实上原理,就是绑定IP与MAC,若网友看到有何意见和建议务必请提出来一起斟酌斟酌.