DCN-TS16ARP欺骗与DCN防御手段(v11)

1、 学习目标学习目标 学完本课程，您应该能够：学完本课程，您应该能够：深刻理解深刻理解ARP协议原理及其攻击手段协议原理及其攻击手段深刻理解相应的防御手段及其原理深刻理解相应的防御手段及其原理 Arp Guard Dhcp Snooping Binding ARP Binding UserControl Binding Dot1x Anti-Arpscan熟练掌握相关协议的配置、特点及其针对点熟练掌握相关协议的配置、特点及其针对点掌握相关协议的分析及掌握相关协议的分析及TroubleShooting2课程内容课程内容3ARP协议介绍协议介绍 ARP，全称，全称Address Resolution

2、 Protocol，中文名为地址解析，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。对上层提供服务。 IP数据包常通过以太网发送，以太网设备并不识别数据包常通过以太网发送，以太网设备并不识别32位位IP地地址，它们是以址，它们是以48位以太网地址传输以太网数据包。因此，必位以太网地址传输以太网数据包。因此，必须把须把IP目的地址转换成以太网目的地址。在以太网中，一个目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的主机要和另一个主机进行直接通信，必须要知道目

3、标主机的MAC地址。但这个目标地址。但这个目标MAC地址是如何获得的呢？它就是通地址是如何获得的呢？它就是通过地址解析协议获得的。过地址解析协议获得的。ARP协议用于将网络中的协议用于将网络中的IP地址解地址解析为的硬件地址（析为的硬件地址（MAC地址），以保证通信的顺利进行。地址），以保证通信的顺利进行。4ARP的工作原理的工作原理 ARP的工作原理：的工作原理：1. 首先，每台主机都会在自己的首先，每台主机都会在自己的ARP缓冲区缓冲区 (ARP Cache)中建立一个中建立一个 ARP列表，以表示列表，以表示IP地址和地址和MAC地址的对应关系。地址的对应关系。 2. 当源主机需要将一个

4、数据包要发送到目的主机时，会首先检查自己当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该列表中是否存在该 IP地址对应的地址对应的MAC地址，如果有就直接将数地址，如果有就直接将数据包发送到这个据包发送到这个MAC地址；如果没有，就向本网段发起一个地址；如果没有，就向本网段发起一个ARP请求的请求的广播包，查询此目的主机对应的广播包，查询此目的主机对应的MAC地址。此地址。此ARP请求数据包里包括源请求数据包里包括源主机的主机的IP地址、硬件地址、以及目的主机的地址、硬件地址、以及目的主机的IP地址。地址。3. 网络中所有的主机收到这个网络中所有的主机收到这个

5、ARP请求后，会检查数据包中的目的请求后，会检查数据包中的目的IP是是否和自己的否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的机首先将发送端的MAC地址和地址和IP地址添加到自己的地址添加到自己的ARP列表中，如果列表中，如果ARP表中已经存在该表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的响应数据包，告诉对方自己是它需要查找的MAC地址；地址； 4. 源主机收到这个源主机收到这个ARP响应数据包后，将得到的目的主

6、机的响应数据包后，将得到的目的主机的IP地址和地址和MAC地址添加到自己的地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如列表中，并利用此信息开始数据的传输。如果源主机一直没有收到果源主机一直没有收到ARP响应数据包，表示响应数据包，表示ARP查询失败。查询失败。5RARP的工作原理的工作原理 RARP的工作原理：的工作原理：1. 发送主机发送一个本地的发送主机发送一个本地的RARP广播，在此广播包中，声明自广播，在此广播包中，声明自己的己的MAC地址并且请求任何收到此请求的地址并且请求任何收到此请求的RARP服务器分配一服务器分配一个个IP地址；地址；2. 本地网段上的本地网段上

7、的RARP服务器收到此请求后，检查其服务器收到此请求后，检查其RARP列表，列表，查找该查找该MAC地址对应的地址对应的IP地址；地址；3. 如果存在，如果存在，RARP服务器就给源主机发送一个响应数据包并将服务器就给源主机发送一个响应数据包并将此此IP地址提供给对方主机使用；地址提供给对方主机使用；4. 如果不存在，如果不存在，RARP服务器对此不做任何的响应；服务器对此不做任何的响应；5. 源主机收到从源主机收到从RARP服务器的响应信息，就利用得到的服务器的响应信息，就利用得到的IP地址地址进行通讯；如果一直没有收到进行通讯；如果一直没有收到RARP服务器的响应信息，表示初服务器的响应信

8、息，表示初始化失败。始化失败。6ARP报文结构报文结构硬件类型协议类型硬件地址长度协议长度操作类型发送方的硬件地址（0-3字节）源物理地址（4-5字节）源IP地址（0-1字节）源IP地址（2-3字节）目标硬件地址（0-1字节）目标硬件地址（2-5字节）目标IP地址（0-3字节）7ARP协议报文协议报文-Request8ARP协议报文协议报文-Reply9ARP协议报文协议报文-Gratuitous10常见的常见的ARP攻击手段攻击手段 ARP扫描扫描 网关欺骗网关欺骗单播单播Request方式方式单播单播Reply方式方式广播广播Request方式方式 主机欺骗主机欺骗单播单播Request方

9、式方式单播单播Reply方式方式广播广播Request方式方式11ARP攻击手段攻击手段ARP扫描扫描12ARP攻击手段攻击手段-网关网关(主机主机)欺骗欺骗/单播单播Request13ARP攻击手段攻击手段-网关网关(主机主机)欺骗欺骗/单播单播Reply14ARP攻击手段攻击手段-网关欺骗网关欺骗-广播广播Request15课程内容课程内容16Arp-Guard-介绍介绍 ARP 协议的设计存在严重的安全漏洞，任何网络设备都可以协议的设计存在严重的安全漏洞，任何网络设备都可以发送发送ARP 报文通告报文通告IP 地址和地址和MAC 地址的映射关系。这就为地址的映射关系。这就为ARP 欺骗提

10、供了可乘之机，攻击者发送欺骗提供了可乘之机，攻击者发送ARP request报文或者报文或者ARP reply 报文通告错误的报文通告错误的IP 地址和地址和MAC 地址映射关系，导地址映射关系，导致网络通讯故障。致网络通讯故障。 ARP Guard 功能常用于保护网关不被攻击，如果要保护网络功能常用于保护网关不被攻击，如果要保护网络内的所有接入内的所有接入PC不受不受ARP欺骗攻击，需要在端口配置大量受欺骗攻击，需要在端口配置大量受保护的保护的ARP Guard 地址，这将占用大量芯片地址，这将占用大量芯片FFP 表项资源，表项资源，可能会因此影响到其它应用功能，并不适合。可能会因此影响到其

11、它应用功能，并不适合。17Arp-Guard-原理原理 主要攻击形式（如上图）：主要攻击形式（如上图）：ARP 欺骗的危害主要表项为两种形式：1、PC4 发送ARP 报文通告PC2 的IP 地址映射为自己的MAC 地址，将导致本应该发送给PC2 的IP 报文全部发送到了PC4，这样PC4 就可以监听、截获PC2 的报文；2、PC4 发送ARP 报文通告PC2 的IP 地址映射为非法的MAC 地址，将导致PC2 无法接收到本应该发送给自己的报文。特别是如果攻击者假冒网关进行ARP 欺骗，将导致整个网络瘫痪。 防御手段：防御手段：我们利用交换机的过滤表项保护重要网络设备的ARP 表项不能被其它设备

12、假冒。基本原理就是利用交换机的过滤表项，检测从端口输入的所有ARP 报文，如果ARP 报文的源IP 地址是受到保护的IP 地址，就直接丢弃报文，不再转发。L3交换机PC1PC2PC3PC4PC5PC6HUBABCD18DHCP Snooping-介绍（介绍（1） 防伪装防伪装DHCP Server：DHCP Snooping 最初的应用是为了防止用户私设DHCP 服务器，通过启用DHCP Snooping，将交换机上各端口定义为Trust接口和Untrust接口，在Untrust接口判断是否有DHCP Server才能发送的DHCPOFFER、DHCPACK、DHCPNAK报文，如果截获到这些

13、报文，将发出警告并做出相应反应（shutdown该接口或者下发blockhole）。 防防DHCP 过载攻击：过载攻击：DHCP Snooping 要对信任端口和非信任端口做DHCP 收包限速，防止过多的DHCP 报文攻击CPU，实现了防止DHCP过载攻击，防止过多的DHCP报文耗尽CPU资源。 记录记录DHCP 绑定数据：绑定数据：DHCP Snooping 在转发DHCP 报文的同时，记录DHCP SERVER 分配的绑定数据，并可以把绑定数据上载到指定的服务器进行备份。 添加绑定添加绑定ARP：DHCP Snooping 捕获到绑定数据之后，可以根据绑定数据中的参数添加静态绑定ARP，这

14、样可以防止交换机的ARP表项 欺骗。19DHCP Snooping-介绍（介绍（2） 添加信任用户添加信任用户:DHCP Snooping 捕获到绑定数据之后，可以根据绑定数据中的参数添加添加信任用户表项，这样这些用户就可以不经过DOT1X 认证而访问所有资源。 自动恢复自动恢复:交换机shutdown 端口或者下发blockhole 一段时间后，交换机应主动恢复该端口或源Mac的通讯，同时通过syslog 发送信息到Log Server。 LOG 功能功能:交换机检测发现异常收包时；或者自动恢复时，应自动发送syslog 信息到Log Server。20DHCP Snooping原理原理 实

15、现机制：实现机制：DHCP Snooping 通过动态监控客户端从通过动态监控客户端从DHCP 服服务器获取地址的过程（或者手工静态绑定），将客户端的务器获取地址的过程（或者手工静态绑定），将客户端的IP、MAC关联到具体的交换机端口，并将该绑定关系下发给驱动，关联到具体的交换机端口，并将该绑定关系下发给驱动，只有符合该绑定关系的只有符合该绑定关系的ARP报文交换机才会转发，从而实现报文交换机才会转发，从而实现防防ARP攻击。攻击。 注意事项：注意事项：必须保证手工静态绑定及第一次动态获取必须保证手工静态绑定及第一次动态获取IP、MAC的正确性和的正确性和有效性有效性不能阻止以符合绑定关系的不

16、能阻止以符合绑定关系的IP、MAC为源的网段扫描，请注意为源的网段扫描，请注意结合结合Anti-Arpscan使用使用21Anti-Arpscan-介绍介绍 ARP 扫描是一种常见的网络攻击方式。为了探测网段内的所扫描是一种常见的网络攻击方式。为了探测网段内的所有活动主机，攻击源将会产生大量的有活动主机，攻击源将会产生大量的ARP 报文在网段内广播，报文在网段内广播，这些广播报文极大的消耗了网络的带宽资源；攻击源甚至有这些广播报文极大的消耗了网络的带宽资源；攻击源甚至有可能通过伪造的可能通过伪造的ARP 报文而在网络内实施大流量攻击，使网报文而在网络内实施大流量攻击，使网络带宽消耗殆尽而瘫痪。

17、而且络带宽消耗殆尽而瘫痪。而且ARP 扫描通常是其他更加严重扫描通常是其他更加严重的攻击方式的前奏，如病毒自动感染，或者继而进行端口扫的攻击方式的前奏，如病毒自动感染，或者继而进行端口扫描、漏洞扫描以实施如信息窃取、畸形报文攻击，拒绝服务描、漏洞扫描以实施如信息窃取、畸形报文攻击，拒绝服务攻击等。攻击等。 由于由于ARP 扫描给网络的安全和稳定带来了极大的威胁，所以扫描给网络的安全和稳定带来了极大的威胁，所以防防ARP 扫描功能将具有重大意义。扫描功能将具有重大意义。DCN系列交换机防系列交换机防ARP 扫扫描的整体思路是若发现网段内存在具有描的整体思路是若发现网段内存在具有ARP 扫描特征的

18、主机扫描特征的主机或端口，将切断攻击源头，保障网络的安全。或端口，将切断攻击源头，保障网络的安全。22Anti-Arpscan-原理原理 实现机制：有两种方式来防实现机制：有两种方式来防ARP 扫描：基于端口和基于扫描：基于端口和基于IP。基于端口的基于端口的ARP 扫描会计算一段时间内从某个端口接收到的扫描会计算一段时间内从某个端口接收到的ARP 报文的数量，若超过了预先设定的阈值，则会报文的数量，若超过了预先设定的阈值，则会down 掉此掉此端口。基于端口。基于IP 的的ARP 扫描则计算一段时间内从网段内某扫描则计算一段时间内从网段内某IP 收收到的到的ARP 报文的数量，若超过了预先设

19、置的阈值，则禁止来报文的数量，若超过了预先设置的阈值，则禁止来自此自此IP 的任何流量，而不是的任何流量，而不是down 掉与此掉与此IP 相连的端口。此相连的端口。此两种防两种防ARP 扫描功能可以同时启用。端口或扫描功能可以同时启用。端口或IP 被禁掉后，可被禁掉后，可以通过自动恢复功能自动恢复其状态。以通过自动恢复功能自动恢复其状态。 注意事项：注意事项：为了提高交换机的效率，可以配置受信任的端口和为了提高交换机的效率，可以配置受信任的端口和IP，交换机不交换机不检测来自受信任的端口或检测来自受信任的端口或IP 的的ARP 报文，这样可以有效地减少报文，这样可以有效地减少交换机的负担。交

20、换机的负担。如果如果PC1伪造伪造PC2发起网段扫描，发起网段扫描，Anti-Arpscan（基于基于IP方式）方式）可能会将可能会将PC2给封掉，所以，请注意结合其他给封掉，所以，请注意结合其他ARP防御手段一起防御手段一起使用。使用。23课程内容课程内容24Arp-Guard配置命令配置命令 arp-guard ip命令：命令：arp-guard ip no arp-guard ip 功能：添加功能：添加ARP Guard 地址。地址。参数：参数：为受到保护的以点分十进制形式表示的为受到保护的以点分十进制形式表示的IP 地址。地址。命令模式：端口配置模式。命令模式：端口配置模式。缺省情况：

21、没有缺省情况：没有ARP Guard 地址。地址。25DHCP Snooping配置任务配置任务 1. 启动启动DHCP Snooping 2. 启动启动DHCP Snooping 绑定功能绑定功能 3. 启动启动DHCP Snooping 绑定绑定ARP 功能（应用一）功能（应用一） 4. 启动启动DHCP Snooping 绑定绑定DOT1X 功能（应用二）功能（应用二） 5. 启动启动DHCP Snooping 绑定绑定USER 功能（应用三）功能（应用三） 6. 添加静态表项功能（应用四）添加静态表项功能（应用四） 7. 设置信任端口设置信任端口 8. 设置防御动作设置防御动作 9.

22、设置设置DHCP 报文速率限制报文速率限制26DHCP Snooping配置命令（配置命令（1） ip dhcp snooping命令：命令：ip dhcp snooping enableno ip dhcp snooping enable功能：开启功能：开启DHCP Snooping 功能。功能。参数：无。参数：无。命令模式：全局配置模式。命令模式：全局配置模式。缺省情况：缺省情况：DHCP Snooping 默认关闭。默认关闭。27DHCP Snooping配置命令（配置命令（2） ip dhcp snooping binding命令：命令：ip dhcp snooping binding

23、 enableno ip dhcp snooping binding enable功能：开启功能：开启DHCP Snooping 绑定功能。绑定功能。参数：无。参数：无。命令模式：全局配置模式。命令模式：全局配置模式。缺省情况：缺省情况：DHCP Snooping 绑定默认关闭。绑定默认关闭。28DHCP Snooping配置命令（配置命令（3） ip dhcp snooping binding arp命令：命令：ip dhcp snooping binding arpno ip dhcp snooping binding arp功能：开启功能：开启DHCP Snooping 绑定绑定ARP

24、功能。功能。参数：无。参数：无。命令模式：全局配置模式。命令模式：全局配置模式。29DHCP Snooping配置命令（配置命令（4） ip dhcp snooping binding dot1x命令：命令：ip dhcp snooping binding dot1xno ip dhcp snooping binding dot1x功能：开启功能：开启DHCP Snooping 绑定绑定DOT1X 功能。功能。参数：无。参数：无。命令模式：端口配置模式。命令模式：端口配置模式。缺省情况：所有端口默认不启动绑定缺省情况：所有端口默认不启动绑定DOT1X 功能。功能。30DHCP Snooping

25、配置命令（配置命令（5） ip dhcp snooping binding user-control命令：命令：ip dhcp snooping binding user-controlno ip dhcp snooping binding user-control功能：开启功能：开启DHCP Snooping 绑定用户功能。绑定用户功能。参数：无。参数：无。命令模式：端口配置模式。命令模式：端口配置模式。缺省情况：所有端口默认不启动绑定用户功能。缺省情况：所有端口默认不启动绑定用户功能。31DHCP Snooping配置命令（配置命令（6） ip dhcp snooping binding

26、user命令：命令：ip dhcp snooping binding user address vlan interface Ethernet no Ip dhcp snooping binding user interface Ethernet 功能：配置静态绑定用户信息。功能：配置静态绑定用户信息。参数：参数：静态绑定用户的静态绑定用户的MAC 地址，地址，MAC 地址是绑定地址是绑定用户的唯一索引值；用户的唯一索引值；、：静态绑定用户的静态绑定用户的IP 地地址、掩码；址、掩码；：静态绑定用户的所属静态绑定用户的所属VLAN ID；：静态绑定用户的接入端口。静态绑定用户的接入端口。命令模

27、式：全局配置模式。命令模式：全局配置模式。缺省情况：缺省情况：DHCP Snooping 默认没有静态绑定表项。默认没有静态绑定表项。32DHCP Snooping配置命令（配置命令（7） ip dhcp snooping trust命令：命令：ip dhcp snooping trustno ip dhcp snooping trust功能：设置或删除端口的功能：设置或删除端口的DHCP Snooping 信任属性。信任属性。参数：无。参数：无。命令模式：端口配置模式。命令模式：端口配置模式。缺省情况：所有端口默认为非信任端口缺省情况：所有端口默认为非信任端口33DHCP Snooping配

28、置命令（配置命令（8） ip dhcp snooping action命令：命令：ip dhcp snooping action shutdown|blackhole recovery no ip dhcp snooping action功能：设置或删除端口上的自动防御动作。功能：设置或删除端口上的自动防御动作。参数：参数：shutdown：端口检测到伪装端口检测到伪装DHCP Server 时，将时，将shutdown 此端口；此端口；blackhole：端口检测到伪装端口检测到伪装DHCP Server 时，时，将以伪装数据包的将以伪装数据包的vid 和源和源mac 设置设置blackho

29、le 来阻止此来阻止此Mac 的流的流量；量；Recovery：用户可选设置自动防御动作执行后还可以自动恢用户可选设置自动防御动作执行后还可以自动恢复（复（no shut端口或删除相应的端口或删除相应的blackhole）；）；：用户指用户指定多长时间后恢复防御动作，单位：秒，范围是定多长时间后恢复防御动作，单位：秒，范围是 10-3600。命令模式：端口配置模式。命令模式：端口配置模式。缺省情况：没有默认的防御动作。缺省情况：没有默认的防御动作。34DHCP Snooping配置命令（配置命令（9） ip dhcp snooping action MaxNum命令：命令：ip dhcp sn

30、ooping action |default功能：设置端口上同时生效的防御动作数目。功能：设置端口上同时生效的防御动作数目。参数：参数：每个端口的防御动作数目，范围是每个端口的防御动作数目，范围是1-200，默认为默认为10；default：恢复默认的防御动作数目。恢复默认的防御动作数目。命令模式：全局配置模式。命令模式：全局配置模式。缺省情况：默认数目为缺省情况：默认数目为10。35DHCP Snooping配置命令（配置命令（10） ip dhcp snooping limit-rate命令：命令：ip dhcp snooping limit-rate no ip dhcp snoopin

31、g limit-rate功能：设置功能：设置DHCP 报文速率限制。报文速率限制。参数：参数：每秒钟转发的每秒钟转发的DHCP 报文数量，范围是报文数量，范围是0-600，默，默认为认为100。0 表示不再转发表示不再转发DHCP 报文。报文。命令模式：全局配置模式。命令模式：全局配置模式。缺省情况：默认数目为缺省情况：默认数目为100。36Anti-Arpscan配置任务配置任务 1) 启动防启动防ARP 扫描功能扫描功能 2) 配置基于端口和基于配置基于端口和基于IP 的防的防ARP 扫描的阈值扫描的阈值 3）配置信任端口）配置信任端口 4）配置信任）配置信任IP 5) 配置自动恢复时间配

32、置自动恢复时间 6) 显示和调试防显示和调试防ARP 扫描相关信息扫描相关信息37Anti-Arpscan配置命令（配置命令（1） anti-arpscan enable命令：命令：anti-arpscan enableno anti-arpscan enable功能：全局启动防功能：全局启动防ARP 扫描功能；扫描功能；no 命令全局关闭防命令全局关闭防ARP 扫描扫描功能。功能。参数：无。参数：无。缺省情况：关闭防缺省情况：关闭防ARP 扫描功能。扫描功能。命令模式：全局配置模式。命令模式：全局配置模式。38Anti-Arpscan配置命令（配置命令（2） anti-arpscan por

33、t-based threshold 命令：命令：anti-arpscan port-based threshold no anti-arpscan port-based threshold功能：设置基于端口的防功能：设置基于端口的防ARP 扫描的接收扫描的接收ARP 报文的阈值，如报文的阈值，如果接收的果接收的ARP 报文的速率超过此设定值，则关闭此端口。单位报文的速率超过此设定值，则关闭此端口。单位为个为个/秒。秒。no 命令恢复为默认值，即命令恢复为默认值，即10 个个/秒。秒。参数：速率阈值，有效范围为参数：速率阈值，有效范围为2-200。缺省情况：缺省情况：10 个个/秒。秒。命令模式

34、：全局配置模式。命令模式：全局配置模式。39Anti-Arpscan配置命令（配置命令（3） anti-arpscan ip-based threshold 命令：命令：anti-arpscan ip-based threshold no anti-arpscan ip-based threshold功能：设置基于功能：设置基于IP 的防的防ARP 扫描的接收扫描的接收ARP 报文的阈值，如果报文的阈值，如果接收的接收的ARP 报文的速率超过此设定值，则交换机所有端口都禁报文的速率超过此设定值，则交换机所有端口都禁止接收来自此止接收来自此IP 的的IP 报文，而且和此报文，而且和此IP 相连的

35、端口禁止接收来相连的端口禁止接收来自此自此IP 的的ARP 报文。单位为个报文。单位为个/秒。秒。no 命令恢复为默认值，即命令恢复为默认值，即3 个个/秒。秒。参数：速率阈值，有效范围为参数：速率阈值，有效范围为1-200。缺省情况：缺省情况：3 个个/秒。秒。命令模式：全局配置模式。命令模式：全局配置模式。40Anti-Arpscan配置命令（配置命令（4） anti-arpscan trust 命令：命令：anti-arpscan trust no anti-arpscan trust 功能：配置为信任端口或超级信任端口；功能：配置为信任端口或超级信任端口；no 命令恢复为非信任命令恢复

36、为非信任端口。端口。参数：无。参数：无。缺省情况：缺省全部为非信任端口。缺省情况：缺省全部为非信任端口。命令模式：端口配置模式。命令模式：端口配置模式。41Anti-Arpscan配置命令（配置命令（5） anti-arpscan trust ip 命令：命令：anti-arpscan trust ip ip-address no anti-arpscan trust ip ip-address 功能：配置信任功能：配置信任IP；no 命令恢复为非信任命令恢复为非信任IP。参数：参数：IP 的子网掩码。的子网掩码。缺省情况：缺省所有缺省情况：缺省所有IP 都为非信任都为非信任IP。掩码缺省为掩

37、码缺省为255.255.255.255。命令模式：全局配置模式。命令模式：全局配置模式。42Anti-Arpscan配置命令（配置命令（6） anti-arpscan recovery enable命令：命令：anti-arpscan recovery enableno anti-arpscan recovery enable功能：启动自动恢复功能，功能：启动自动恢复功能，no 命令取消自动恢复功能。命令取消自动恢复功能。参数：无。参数：无。缺省情况：启动自动恢复功能。缺省情况：启动自动恢复功能。命令模式：全局配置模式。命令模式：全局配置模式。43Anti-Arpscan配置命令（配置命令（7

38、） anti-arpscan recovery time 命令：命令：anti-arpscan recovery time no anti-arpscan recovery time功能：配置自动恢复时间；功能：配置自动恢复时间；no 命令恢复自动恢复时间为默认值。命令恢复自动恢复时间为默认值。参数：自动恢复时间值，单位为秒。有效范围为参数：自动恢复时间值，单位为秒。有效范围为5-86400 秒。秒。缺省情况：缺省情况：300 秒。秒。命令模式：全局配置模式。命令模式：全局配置模式。44课程内容课程内容45典型案例典型案例-拓扑图拓扑图192.168.1.128/24E0/0/1DCS-3950-28CTDCRS-7608IPv4192.168.1.1/24E0/0/24 DHCP SRV192.168.1.10/24案例要求：案例要求： 1.通过通过Anti-Arpscan防御防御ARP扫描扫描; 2.通过通过Arp-Guard防御网关欺骗防御网关欺骗; 3.通过通过DHCP Snooping绑定绑定ARP防防 御交换机表项欺骗御交换机表项欺骗; 4.通过通过DHCP Snooping绑定绑定user- control防御主机欺骗。防御主机欺骗。192.168.1.2/2446典型案例典型案例Anti-Arpscan配置配置 DCS-3950-28CT(Config)#an