接入交換機還有很多值得我們學習的地方，這里我們主要介紹接入交換機中常見的攻擊和防范。由于實際組網中，接入交換機的上行口會接收其他設備的請求和應答的ARP報文，這些 ARP報文的源IP地址和源MAC地址并沒有在DHCP Snooping表項或者靜態(tài)綁定表中。

為了解決上行端口接收的ARP請求和應答報文能夠通過ARP入侵檢測問題，接入交換機支持通過配置ARP信任端口，靈活控制ARP報文檢測功能。對于來自信任端口的所有ARP報文不進行檢測，對其它端口的ARP報文通過查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進行檢測。

IP過濾功能

IP過濾功能是指交換機可以通過DHCP Snooping表項和手工配置的IP靜態(tài)綁定表，對非法IP報文進行過濾的功能。在端口上開啟該功能后，接入交換機首先下發(fā)ACL規(guī)則，丟棄除DHCP報文以外的所有 IP報文。（同時，需要考慮DHCP Snooping信任端口功能是否啟動。如果沒有啟動，則丟棄DHCP應答報文，否則，允許DHCP應答報文通過。）接著，下發(fā)ACL規(guī)則，允許源IP地址為DHCP Snooping表項或已經配置的IP靜態(tài)綁定表項中的IP地址的報文通過。

交換機對IP報文有兩種過濾方式

根據報文中的源IP地址進行過濾。如果報文的源IP地址、接收報文的接入交換機端口號與DHCP Snooping動態(tài)表項或手工配置的IP靜態(tài)綁定表項一致，則認為該報文是合法的報文，允許其通過；否則認為是非法報文，直接丟棄。

根據報文中的源IP地址和源MAC地址進行過濾。如果報文的源IP地址、源MAC地址、接收報文的交換機端口號，與DHCP Snooping動態(tài)表項或手工配置的IP靜態(tài)綁定表項一致，則認為該報文是合法的報文，允許其通過；否則認為是非法報文，直接丟棄。

DHCP/ARP報文限速功能

為了防止DHCP報文泛洪攻擊，接入交換機支持配置端口上對DHCP/ARP報文的限速功能。開啟該功能后，接入交換機對每秒內該端口接收的DHCP/ARP報文數量進行統(tǒng)計，如果每秒收到的報文數量超過設定值，則認為該端口處于超速狀態(tài)（即受到攻擊）。此時，交換機將關閉該端口，使其不再接收任何報文，從而避免設備受到大量報文攻擊而癱瘓。

同時，設備支持配置端口狀態(tài)自動恢復功能，對于配置了報文限速功能的端口，在其因超速而被接入交換機關閉后，經過一段時間可以自動恢復為開啟狀態(tài)。