为了防止IP地址被用户非法盗用而造成IP冲突,或者避免局域网内遭遇arp病毒攻击,可采用IP和MAC地址绑定来限制这些让管理员头疼的事。
此方法需要在三层交换机上实现,以下以cisco3750为例:
3750#conf t
3750(config)arp access-list IP-MAC //定义一个名为IP-MAC的arp访问控制列表
3750(config-arp-nacl)permit ip host 10.3.5.36 mac host 00-21-5C-32-B1-67
//允许IP为10.3.5.36且mac为00-21-5C-32-B1-67的主机通过
3750(config)ip arp inspection filter vlan 305 //vlan 305为10.3.5.36的vlan, 对此vlan进行arp检测
3750(config)ip arp inspection vlan 305 //应用到vlan 305上
以上的命令可以做到只有绑定的机器可以正常访问
