接入交換機(jī)還有很多值得我們學(xué)習(xí)的地方，這里我們主要介紹接入交換機(jī)中常見的攻擊和防范。由于實際組網(wǎng)中，接入交換機(jī)的上行口會接收其他設(shè)備的請求和應(yīng)答的ARP報文，這些 ARP報文的源IP地址和源MAC地址并沒有在DHCP Snooping表項或者靜態(tài)綁定表中。

為了解決上行端口接收的ARP請求和應(yīng)答報文能夠通過ARP入侵檢測問題，接入交換機(jī)支持通過配置ARP信任端口，靈活控制ARP報文檢測功能。對于來自信任端口的所有ARP報文不進(jìn)行檢測，對其它端口的ARP報文通過查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測。

IP過濾功能

IP過濾功能是指交換機(jī)可以通過DHCP Snooping表項和手工配置的IP靜態(tài)綁定表，對非法IP報文進(jìn)行過濾的功能。在端口上開啟該功能后，接入交換機(jī)首先下發(fā)ACL規(guī)則，丟棄除DHCP報文以外的所有 IP報文。（同時，需要考慮DHCP Snooping信任端口功能是否啟動。如果沒有啟動，則丟棄DHCP應(yīng)答報文，否則，允許DHCP應(yīng)答報文通過。）接著，下發(fā)ACL規(guī)則，允許源IP地址為DHCP Snooping表項或已經(jīng)配置的IP靜態(tài)綁定表項中的IP地址的報文通過。

交換機(jī)對IP報文有兩種過濾方式

根據(jù)報文中的源IP地址進(jìn)行過濾。如果報文的源IP地址、接收報文的接入交換機(jī)端口號與DHCP Snooping動態(tài)表項或手工配置的IP靜態(tài)綁定表項一致，則認(rèn)為該報文是合法的報文，允許其通過；否則認(rèn)為是非法報文，直接丟棄。

根據(jù)報文中的源IP地址和源MAC地址進(jìn)行過濾。如果報文的源IP地址、源MAC地址、接收報文的交換機(jī)端口號，與DHCP Snooping動態(tài)表項或手工配置的IP靜態(tài)綁定表項一致，則認(rèn)為該報文是合法的報文，允許其通過；否則認(rèn)為是非法報文，直接丟棄。

DHCP/ARP報文限速功能

為了防止DHCP報文泛洪攻擊，接入交換機(jī)支持配置端口上對DHCP/ARP報文的限速功能。開啟該功能后，接入交換機(jī)對每秒內(nèi)該端口接收的DHCP/ARP報文數(shù)量進(jìn)行統(tǒng)計，如果每秒收到的報文數(shù)量超過設(shè)定值，則認(rèn)為該端口處于超速狀態(tài)（即受到攻擊）。此時，交換機(jī)將關(guān)閉該端口，使其不再接收任何報文，從而避免設(shè)備受到大量報文攻擊而癱瘓。

同時，設(shè)備支持配置端口狀態(tài)自動恢復(fù)功能，對于配置了報文限速功能的端口，在其因超速而被接入交換機(jī)關(guān)閉后，經(jīng)過一段時間可以自動恢復(fù)為開啟狀態(tài)。