(4)方案得?/STRONG>

　　对接入交换机要求低，只需要支持端口隔离功能即可;而且动态IP地址环境下配置简单，易于管理、实现。

　　3、802.1X认证防御

　　BMC交换机全面支持802.1X的认证机制，配合Radius服务器实施IP+MAC+端口号三重绑定，可以实现完美的ARP攻击防御。

　　(1)主机IP地址静态配置时，终端发给802.1x认证，Radius验证通过后，将该用户的IP、MAC等绑定信息自动下发给接入交换机。

　　(2)动态分配IP地址时，接入交换机启用DHCP Snooping侦听主机分配到的IP地址，并将此IP地址，以及对应的MAC地址、交换机端口发送给Radius服务器。

　　方案特点：

　　静态、动态IP地址混杂模式下，可以完美解决内网ARP攻击问题，并且人工配置量小，适用于信息点众多的大型办公网络。

　　BMC ARP防御思路总结

　　接入层防御

　　·在接入层交换机上开启DHCP snooping功能，并配置与DHCP服务器相连的端口为DHCP snooping信任端口。

　　·在接入层交换机上为静态IP地址分配模式的主机或者服务器配置对应的IP静态绑定表项。

　　·在接入层交换机对应VLAN上开启ARP入侵检测功能，并配置该交换机的上行口为ARP信任端口。

　　·在接入层交换机的直接连接客户端的端口上配置ARP报文限速功能，同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。

　　汇聚层防御

　　·在接入层交换机上配置端口隔离功能

　　·在汇聚层交换机上开启Local ARP Proxy功能，隔离接入端口之间的ARP报文

　　·在汇聚层交换机上开启端口ARP限速功能，防御ARP Flood攻击

　　认证模式防御

　　·在接入交换机上开启802.1X认证，并配置Radius服务器端

　　·在接入交换机上开启DHCP Snooping，并配置信任端口

　　·在Radius上，手工设置IP+MAC+Port三重绑定