H3C接入交換機(jī)有很多值得學(xué)習(xí)的地方，這里我們主要介紹H3C接入交換機(jī)的配置IP靜態(tài)綁定表項(xiàng)。開啟DHCP Snooping功能后，H3C接入交換機(jī)根據(jù)設(shè)備的不同特點(diǎn)可以分別采取監(jiān)聽DHCP-REQUEST廣播報(bào)文和DHCP-ACK單播報(bào)文的方法來記錄用戶獲取的IP地址等信息。

目前，H3C接入交換機(jī)的DHCP Snooping表項(xiàng)主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口信息、租約信息。為了防止ARP中間人攻擊，H3C接入交換機(jī)支持將收到的ARP(請求與回應(yīng))報(bào)文重定向到CPU，結(jié)合DHCP Snooping安全特性來判斷ARP報(bào)文的合法性并進(jìn)行處理，具體如下。

當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)匹配，且ARP報(bào)文的入端口及其所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)一致，則為合法ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā)處理。

當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不匹配，或ARP報(bào)文的入端口，入端口所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不一致，則為非法ARP報(bào)文，直接丟棄，并通過Debug打印出丟棄信息提示用戶。

手工配置IP靜態(tài)綁定表項(xiàng)

DHCP Snooping表只記錄了通過DHCP方式動(dòng)態(tài)獲取IP地址的客戶端信息，如果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會(huì)被DHCP Snooping表記錄，因此不能通過基于DHCP Snooping表項(xiàng)的ARP入侵檢測，導(dǎo)致用戶無法正常訪問外部網(wǎng)絡(luò)。

為了能夠讓這些擁有合法固定IP地址的用戶訪問網(wǎng)絡(luò)，H3C接入交換機(jī)支持手工配置IP靜態(tài)綁定表的表項(xiàng)，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。以便正常處理該用戶的報(bào)文。

ARP信任端口設(shè)置

由于實(shí)際組網(wǎng)中，H3C接入交換機(jī)的上行口會(huì)接收其他設(shè)備的請求和應(yīng)答的ARP報(bào)文，這些ARP報(bào)文的源IP地址和源MAC地址并沒有在DHCP Snooping表項(xiàng)或者靜態(tài)綁定表中。為了解決上行端口接收的ARP請求和應(yīng)答報(bào)文能夠通過ARP入侵檢測問題，交換機(jī)支持通過配置ARP信任端口，靈活控制ARP報(bào)文檢測功能。對于來自信任端口的所有ARP報(bào)文不進(jìn)行檢測，對其它端口的ARP報(bào)文通過查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測。