思科交换机怎么配置能达到：防止同网段ARP攻击

思科防ARP攻击，采用端口安全

思科端口安全在违反安全规则后有三种处理模式，有两种解决方案

三种处理模式：

Shudown 这种方式保护能力最强，但是对于一些情况可能会为管理带来麻烦，如某台设备中了病毒，病毒间断性伪造源MAC在网络中发送报文。

Protect 丢弃非法流量，不报警

Restrict 丢弃非法流量，报警，对不上面会是交换机CPU利用率上升但是不影响交换机的正常使用。推荐使用这种方式。

两种解决方案：

MAC+IP绑定

设置最大学习MAC数量

一.MAC+IP绑定，此方法虽好，但是需要手工去登记各服务器MAC地址，太耗费人力。

配置方法：

1.进接口模式

2.switchport port-security //开启端口安全，此命令必敲，否则后面的配置不生效

3.switchport port-security mac-address aabb.ccdd.eeff //设置此端口下对应的MAC地址

4.switchport port-security violation restrict //设置违规方式为丢弃并报警

二.设置学习多少MAC地址后丢弃其他的ARP流量

1.进接口模式

2.switchport port-security //同上，必敲

3.switchport port-security maximum 5 //设置最多学习5个MAC地址

4.switchport port-security violation restrict //设置学习超过5个MAC地址后，将其他的ARP流量丢弃并报警。

思科（cisco）路由器的ip地址与mac地址绑定的命令是：arp ip地址 mac地址 arpa。

如局域网某一用户的IP地址为：202.196.191.190，MAC地址为：0010.40bc.b54e，在Cisco的路由器或交换机的路由模块上使用命令：

router(config)# arp 202.196.191.190 0010.40bc.b54e arpa

如何查看IP地址对应的MAC地址在CMD命令提示符下输入“ipconfig /all”。

启用DHCP的思科路由器上做ARP绑定方法：

1、进入路由器：打开浏览器-输入192.168.1.1(一般路由器地址是这个)进路由器登录界面。

2、输入正确的用户名和密码进入路由器管理后台。

3、我们要先查看已有的IP和对应在的MAC地址栏。点击左侧的“DHCP服务器”，选择“客户端列表”，记下右边显示的对应的IP和MAC地址，这个一定要记正确。

4、再点击左侧的“静态地址分配”链接，在右边点击“添加新条目”按钮。

5、在右边输入正确的对应的MAC和IP地址，再将“状态”选择为“生效”，再单击“保存”按钮保存。

---