今天海翎光電的小編來給大家聊聊以太網交換機安全功能。

8、關閉 SNMP 或使用 SNMP V3

    這樣，可以完成交換機對假冒 DHCP Server 的屏蔽作用，確保客戶端從合法的DHCP Server 獲取 IP 地址。

    1、dhcp-snooping 的主要作用就是隔絕非法的 dhcp server，通過配置非信任端口。

    2、與交換機 DAI 的配合，防止 ARP 病毒的傳播。

3、建立和維護一張 dhcp-snooping 的綁定表，這張表一是通過 dhcp ack 包中的 ip 和 mac 地址生成的，二是可以手工指定。這張表是后續 DAI（dynamic arpinspect）和 IPSource Guard 基礎。這兩種類似的技術，是通過這張表來判定 ip或者 mac 地址是否合法，來限制用戶連接到網絡的。

4、通過建立信任端口和非信任端口，對非法 DHCP 服務器進行隔離，信任端口正常轉發 DHCP 數據包，非信任端口收到的服務器響應的 DHCP offer 和 DHCPACK后，做丟包處理，不進行轉發。

    DAI

    動態 ARP 檢查(Dynamic ARP Inspection, DAI)可以防止 ARP 欺騙，它可以幫助保證接入交換機只傳遞“合法的"ARP 請求和應答信息。

    DAI 基于 DHCP Snooping 來工作，DHCP Snooping 監聽綁定表，包括 IP 地址與 MAC 地址的綁定信息，并將其與特定的交換機端口相關聯，動態 ARP 檢測(DAI-Dynamic ARP Inspection)可以用來檢查所有非信任端口的 ARP 請求和應答(主動式 ARP 和非主動式 ARP) ，確保應答來自真正的 MAC 所有者。交換機通過檢查端口紀錄的 DHCP 綁定信息和 ARP 應答的 IP 地址決定其是否是真正的 MAC 所有者，不合法的 ARP 包將被拒絕轉發。