二、防arp欺骗攻击

1、arp表项固化

可在全局和VLANIF接口下配置ARP表项固化功能。

具体配置：

[Huawei]arp anti-attack entry-check ?

fixed-all  Fixed all mode

fixed-mac  Fixed mac mode

send-ack   Inquire mode

2、动态arp检测

为了防御中间人攻击，避免合法用户的数据被中间人窃取，可以在接入设备上使能动态ARP检测DAI功能。可在接口视图或VLAN视图下使能动态ARP检测功能。

当网关设备上部署了DHCP触发ARP学习功能时，则可以在网关设备上部署本功能。

本功能仅适用于DHCP Snooping场景。

具体配置

1、使能arp动态检测功能

[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind enable

2、配置arp动态检测的检测项（默认对IP MAC vlan都检查）

[Huawei-GigabitEthernet0/0/1arp anti-attack check user-bind check-item ?

ip-address   Check ip address

mac-address  Check mac-address

vlan         Check vlan

3、arp防网关冲突

如果有攻击者仿冒网关，在局域网内部发送源IP地址是网关IP地址的ARP报文，会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。

[Huawei]arp  anti-attack  gateway-duplicate  enable

4、配置免费ARP报文主动丢弃

在确认攻击来自免费ARP报文之后，可以在网关设备上使能免费ARP报文主动丢弃功能，使网关设备直接丢弃免费ARP报文。

丢弃免费ARP报文功能可以在全局和VLANIF接口下使能。

一般在用户侧的VLANIF接口下配置免费ARP报文主动丢弃功能。

具体配置

1、全局使能免费ARP报文主动丢弃

[Huawei]arp anti-attack gratuitous-arp drop

2、vlanif接口下使能免费ARP报文主动丢弃

[Huawei-Vlanif3]arp anti-attack gratuitous-arp drop

5、发送arp免费报文

如果有攻击者向其他用户发送仿冒网关的ARP报文，会导致其他用户的ARP表中记录错误的网关地址映射关系，

造成其他用户的正常数据不能被网关接收。发送免费ARP报文的功能，用来定期更新合法用户的ARP表项，使得合法用户ARP表项中记录的是正确的网关地址映射关系。

可在全局或VLANIF接口下配置发送免费ARP报文功能。

具体配置

1、使能网关发送免费arp报文

[Huawei]arp gratuitous-arp send enable

2、设备免费arp报文发送时间间隔（确实6700及以下是60S，以上是30S

[Huawei]arp gratuitous-arp send interval 120