5560交換機

綁定靜態arp，或者可以看下這個功能是否有所幫助。

ARP Snooping簡介

4.1.1  作用

ARP Snooping功能是一個用於二層交換網絡環境的特性，通過偵聽ARP報文建立ARP Snooping表項，從而提供給和MFF（MAC-Forced Forwarding，MAC強製轉發）手動方式等使用。關於MFF的詳細介紹，請參見“安全配置指導”中的“MFF”。

4.1.2  工作機製

設備上在一個VLAN中啟用ARP Snooping後，該VLAN內接收的ARP報文都會被上送到CPU。CPU對上送的ARP報文進行分析，獲取ARP報文的發送端IP地址、發送端MAC地址、VLAN和入端口信息，建立記錄用戶信息的ARP Snooping表項。

ARP Snooping表項的老化時間為25分鍾，有效時間為15分鍾。如果一個ARP Snooping表項自最後一次更新後12分鍾內沒有收到ARP更新報文，設備會向外主動發送一個ARP請求進行探測；若ARP Snooping表項自最後一次更新後15分鍾時，還沒有收到ARP更新報文，則此表項開始進入失效狀態，不再對外提供服務，其他特性查找此表項將會失敗。當收到發送端IP地址和發送端MAC與已存在的ARP Snooping表項IP地址和MAC均相同的ARP報文時，此ARP Snooping表項進行更新，重新開始生效，並重新老化計時。當ARP Snooping表項達到老化時間後，則將此ARP Snooping表項刪除。

如果ARP Snooping收到ARP報文時檢查到相同IP的ARP Snooping表項已經存在，但是MAC地址發生了變化，則認為發生了攻擊，此時ARP Snooping表項處於衝突狀態，表項失效，不再對外提供服務，並在1分鍾後刪除此表項。

4.2  在VLAN內開啟ARP Snooping功能

表4-1 開啟ARP Snooping功能