DCN-TS16ARP欺騙與DCN防御手段Version1.0學(xué)習(xí)目標(biāo)學(xué)完本課程，您應(yīng)該能夠：深刻理解ARP協(xié)議原理及其攻擊手段深刻理解相應(yīng)的防御手段及其原理ArpGuardDhcpSnoopingBindingARPBindingUserControlBindingDot1xAnti-Arpscan熟練掌握相關(guān)協(xié)議的配置、特點(diǎn)及其針對點(diǎn)掌握相關(guān)協(xié)議的分析及TroubleShooting課程內(nèi)容第一章ARP協(xié)議原理及其攻擊手段第二章DCN防御手段及原理第三章DCN防御協(xié)議配置第四章典型配置案例ARP協(xié)議介紹ARP，全稱AddressResolutionProtocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時對上層提供服務(wù)。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進(jìn)行。ARP的工作原理ARP的工作原理：1. 首先，每臺主機(jī)都會在自己的ARP緩沖區(qū)(ARPCache)中建立一個ARP列表，以表示IP地址和MAC地址的對應(yīng)關(guān)系。2. 當(dāng)源主機(jī)需要將一個數(shù)據(jù)包要發(fā)送到目的主機(jī)時，會首先檢查自己ARP列表中是否存在該IP地址對應(yīng)的MAC地址，如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機(jī)對應(yīng)的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。3. 網(wǎng)絡(luò)中所有的主機(jī)收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；4. 源主機(jī)收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。RARP的工作原理RARP的工作原理：1.發(fā)送主機(jī)發(fā)送一個本地的RARP廣播，在此廣播包中，聲明自己的MAC地址并且請求任何收到此請求的RARP服務(wù)器分配一個IP地址；2.本地網(wǎng)段上的RARP服務(wù)器收到此請求后，檢查其RARP列表，查找該MAC地址對應(yīng)的IP地址；3.如果存在，RARP服務(wù)器就給源主機(jī)發(fā)送一個響應(yīng)數(shù)據(jù)包并將此IP地址提供給對方主機(jī)使用；4.如果不存在，RARP服務(wù)器對此不做任何的響應(yīng)；5.源主機(jī)收到從RARP服務(wù)器的響應(yīng)信息，就利用得到的IP地址進(jìn)行通訊；如果一直沒有收到RARP服務(wù)器的響應(yīng)信息，表示初始化失敗。ARP報文結(jié)構(gòu)硬件類型協(xié)議類型硬件地址長度協(xié)議長度操作類型發(fā)送方的硬件地址（0-3字節(jié)）源物理地址（4-5字節(jié)）源IP地址（0-1字節(jié)）源IP地址（2-3字節(jié)）目標(biāo)硬件地址（0-1字節(jié)）目標(biāo)硬件地址（2-5字節(jié)）目標(biāo)IP地址（0-3字節(jié)）ARP協(xié)議報文--RequestARP協(xié)議報文--ReplyARP協(xié)議報文--Gratuitous常見的ARP攻擊手段ARP掃描網(wǎng)關(guān)欺騙單播Request方式單播Reply方式廣播Request方式主機(jī)欺騙單播Request方式單播Reply方式廣播Request方式ARP攻擊手手段—ARP掃描ARP攻擊手手段--網(wǎng)關(guān)關(guān)(主機(jī))欺欺騙/單播RequestARP攻擊手手段--網(wǎng)關(guān)關(guān)(主機(jī))欺欺騙/單播ReplyARP攻擊手手段--網(wǎng)關(guān)關(guān)欺騙--廣廣播Request課程內(nèi)容第一章ARP協(xié)議原理及其其攻擊手段第二章DCN防御手段及原原理第三章DCN防御協(xié)議配置置第四章典典型配置案例例Arp-Guard--介紹ARP協(xié)議議的設(shè)計存在在嚴(yán)重的安全全漏洞，任何何網(wǎng)絡(luò)設(shè)備都都可以發(fā)送ARP報文文通告IP地地址和MAC地址的的映射關(guān)系。。這就為ARP欺騙提提供了可乘之之機(jī)，攻擊者者發(fā)送ARPrequest報文文或者ARPreply報文通通告錯誤的IP地址和和MAC地地址映射關(guān)系系，導(dǎo)致網(wǎng)絡(luò)絡(luò)通訊故障。。ARPGuard功功能常用于保保護(hù)網(wǎng)關(guān)不被被攻擊，如果果要保護(hù)網(wǎng)絡(luò)絡(luò)內(nèi)的所有接接入PC不受受ARP欺騙騙攻擊，需要要在端口配置置大量受保護(hù)護(hù)的ARPGuard地址，這這將占用大量量芯片F(xiàn)FP表項資源源，可能會因因此影響到其其它應(yīng)用功能能，并不適合合。Arp-Guard--原理主要攻擊形式式（如上圖））：ARP欺騙的危害主主要表項為兩兩種形式：1、PC4發(fā)送ARP報文通告PC2的IP地址映射為自自己的MAC地址，將導(dǎo)致致本應(yīng)該發(fā)送送給PC2的IP報文全部發(fā)送送到了PC4，這樣PC4就可以監(jiān)聽、、截獲PC2的報文；2、、PC4發(fā)送ARP報文通告PC2的IP地址映射為非非法的MAC地址，將導(dǎo)致致PC2無法接收到本本應(yīng)該發(fā)送給給自己的報文文。特別是如如果攻擊者假假冒網(wǎng)關(guān)進(jìn)行行ARP欺騙，將導(dǎo)致致整個網(wǎng)絡(luò)癱癱瘓。防御手段：我們利用交換換機(jī)的過濾表表項保護(hù)重要要網(wǎng)絡(luò)設(shè)備的的ARP表項不能被其其它設(shè)備假冒冒?；驹砝砭褪抢媒唤粨Q機(jī)的過濾濾表項，檢測測從端口輸入入的所有ARP報文，如果ARP報文的源IP地址是受到保保護(hù)的IP地址，就直接接丟棄報文，，不再轉(zhuǎn)發(fā)。。L3交換機(jī)PC1PC2PC3PC4PC5PC6HUBABCDDHCPSnooping--介介紹（1）防偽裝DHCPServer：DHCPSnooping最初的應(yīng)用是是為了防止用用戶私設(shè)DHCP服務(wù)器，通過過啟用DHCPSnooping，將交換機(jī)上各各端口定義為為Trust接口和Untrust接口，在Untrust接口判斷是否否有DHCPServer才能發(fā)送的DHCPOFFER、DHCPACK、DHCPNAK報文，如果截截獲到這些報報文，將發(fā)出出警告并做出出相應(yīng)反應(yīng)（（shutdown該接口口或者者下發(fā)發(fā)blockhole）。。防DHCP過載攻攻擊：：DHCPSnooping要對信信任端端口和和非信信任端端口做做DHCP收包限限速，，防止止過多多的DHCP報文攻攻擊CPU，實現(xiàn)了了防止止DHCP過載攻攻擊，，防止止過多多的DHCP報文耗耗盡CPU資源。。記錄DHCP綁定數(shù)數(shù)據(jù)：：DHCPSnooping在轉(zhuǎn)發(fā)發(fā)DHCP報文的的同時時，記記錄DHCPSERVER分配的的綁定定數(shù)據(jù)據(jù)，并并可以以把綁綁定數(shù)數(shù)據(jù)上上載到到指定定的服服務(wù)器器進(jìn)行行備份份。添加綁綁定ARP：DHCPSnooping捕獲到到綁定定數(shù)據(jù)據(jù)之后后，可可以根根據(jù)綁綁定數(shù)數(shù)據(jù)中中的參參數(shù)添添加靜靜態(tài)綁綁定ARP，這樣可可以防防止交交換機(jī)機(jī)的ARP表項欺欺騙騙。DHCPSnooping--介紹紹（2）添加信信任用用戶:DHCPSnooping捕獲到到綁定定數(shù)據(jù)據(jù)之后后，可可以根根據(jù)綁綁定數(shù)數(shù)據(jù)中中的參參數(shù)添添加添添加信信任用用戶表表項，，這樣樣這些些用戶戶就可可以不不經(jīng)過過DOT1X認(rèn)證而而訪問問所有有資源源。自動恢恢復(fù):交換機(jī)機(jī)shutdown端口或或者下下發(fā)blockhole一段時時間后后，交交換機(jī)機(jī)應(yīng)主主動恢恢復(fù)該該端口口或源源Mac的通訊訊，同同時通通過syslog發(fā)送信信息到到LogServer。。LOG功能:交換機(jī)機(jī)檢測測發(fā)現(xiàn)現(xiàn)異常常收包包時；；或者者自動動恢復(fù)復(fù)時，，應(yīng)自自動發(fā)發(fā)送syslog信息到到LogServer。。DHCPSnooping—原原理實現(xiàn)機(jī)機(jī)制：：DHCPSnooping通過動動態(tài)監(jiān)監(jiān)控客客戶端端從DHCP服務(wù)器器獲取取地址址的過過程（（或者者手工工靜態(tài)態(tài)綁定定），，將客客戶端端的IP、、MAC關(guān)聯(lián)到到具體體的交交換機(jī)機(jī)端口口，并并將該該綁定定關(guān)系系下發(fā)發(fā)給驅(qū)驅(qū)動，，只有有符合合該綁綁定關(guān)關(guān)系的的ARP報文交交換機(jī)機(jī)才會會轉(zhuǎn)發(fā)發(fā)，從從而實實現(xiàn)防防ARP攻擊。。注意事事項：：必須保保證手手工靜靜態(tài)綁綁定及及第一一次動動態(tài)獲獲取IP、、MAC的正確確性和和有效效性不能阻阻止以以符合合綁定定關(guān)系系的IP、、MAC為源的的網(wǎng)段段掃描描，請請注意意結(jié)合合Anti-Arpscan使用Anti-Arpscan--介介紹ARP掃掃描是是一種種常見見的網(wǎng)網(wǎng)絡(luò)攻攻擊方方式。。為了了探測測網(wǎng)段段內(nèi)的的所有有活動動主機(jī)機(jī)，攻攻擊源源將會會產(chǎn)生生大量量的ARP報報文在在網(wǎng)段段內(nèi)廣廣播，，這些些廣播播報文文極大大的消消耗了了網(wǎng)絡(luò)絡(luò)的帶帶寬資資源；；攻擊擊源甚甚至有有可能能通過過偽造造的ARP報報文而而在網(wǎng)網(wǎng)絡(luò)內(nèi)內(nèi)實施施大流流量攻攻擊，，使網(wǎng)網(wǎng)絡(luò)帶帶寬消消耗殆殆盡而而癱瘓瘓。而而且ARP掃掃描通通常是是其他他更加加嚴(yán)重重的攻攻擊方方式的的前奏奏，如如病毒毒自動動感染染，或或者繼繼而進(jìn)進(jìn)行端端口掃掃描、、漏洞洞掃描描以實實施如如信息息竊取取、畸畸形報報文攻攻擊，，拒絕絕服務(wù)務(wù)攻擊擊等。。由于ARP掃掃描給給網(wǎng)絡(luò)絡(luò)的安安全和和穩(wěn)定定帶來來了極極大的的威脅脅，所所以防防ARP掃掃描描功能能將具具有重重大意意義。。DCN系系列交交換機(jī)機(jī)防ARP掃掃描的的整體體思路路是若若發(fā)現(xiàn)現(xiàn)網(wǎng)段段內(nèi)存存在具具有ARP掃掃描特特征的的主機(jī)機(jī)或端端口，，將切切斷攻攻擊源源頭，，保障障網(wǎng)絡(luò)絡(luò)的安安全。。Anti-Arpscan--原原理實現(xiàn)機(jī)機(jī)制：：有兩兩種方方式來來防ARP掃描：：基于于端口口和基基于IP。?；诙硕丝诘牡腁RP掃描會會計算算一段段時間間內(nèi)從從某個個端口口接收收到的的ARP報文的的數(shù)量量，若若超過過了預(yù)預(yù)先設(shè)設(shè)定的的閾值值，則則會down掉此端端口。?；谟贗P的ARP掃描則則計算算一段段時間間內(nèi)從從網(wǎng)段段內(nèi)某某IP收到的的ARP報文的的數(shù)量量，若若超過過了預(yù)預(yù)先設(shè)設(shè)置的的閾值值，則則禁止止來自自此IP的任何何流量量，而而不是是down掉與此此IP相連的的端口口。此此兩種種防ARP掃描功功能可可以同同時啟啟用。。端口口或IP被禁掉掉后，，可以以通過過自動動恢復(fù)復(fù)功能能自動動恢復(fù)復(fù)其狀狀態(tài)。。注意事事項：：為了提提高交交換機(jī)機(jī)的效效率，，可以以配置置受信信任的的端口口和IP，，交換機(jī)機(jī)不檢檢測來來自受受信任任的端端口或或IP的ARP報文，，這樣樣可以以有效效地減減少交交換機(jī)機(jī)的負(fù)負(fù)擔(dān)。。如果PC1偽造PC2發(fā)起網(wǎng)網(wǎng)段掃掃描，，Anti-Arpscan（（基于IP方式））可能能會將將PC2給封掉掉，所所以，，請注注意結(jié)結(jié)合其其他ARP防御手手段一一起使使用。。課程內(nèi)內(nèi)容第一章章ARP協(xié)議原原理及及其攻攻擊手手段第二章章DCN防御手手段及及原理理第三章章DCN防御協(xié)協(xié)議配配置第四章章典典型型配置置案例例Arp-Guard—配配置命命令arp-guardip命令：：arp-guardip<addr>noarp-guardip<addr>功能：：添加加ARPGuard地址。。參數(shù)：：<addr>為受到到保護(hù)護(hù)的以以點(diǎn)分分十進(jìn)進(jìn)制形形式表表示的的IP地址。。命令模模式：：端口口配置置模式式。缺省情情況：：沒有有ARPGuard地址。。DHCPSnooping—配配置任任務(wù)1.啟啟動動DHCPSnooping2.啟啟動動DHCPSnooping綁綁定定功能能3.啟啟動動DHCPSnooping綁綁定定ARP功功能能（應(yīng)應(yīng)用一一）4.啟啟動動DHCPSnooping綁綁定定DOT1X功功能能（應(yīng)應(yīng)用二二）5.啟啟動動DHCPSnooping綁綁定定USER功功能（（應(yīng)用用三））6.添添加加靜態(tài)態(tài)表項項功能能（應(yīng)應(yīng)用四四）7.設(shè)設(shè)置置信任任端口口8.設(shè)設(shè)置置防御御動作作9.設(shè)設(shè)置置DHCP報報文速速率限限制DHCPSnooping—配配置命命令（（1））ipdhcpsnooping命令：：ipdhcpsnoopingenablenoipdhcpsnoopingenable功能：：開啟啟DHCPSnooping功能。。參數(shù)：：無。。命令模模式：：全局局配置置模式式。缺省情情況：：DHCPSnooping默認(rèn)關(guān)關(guān)閉。。DHCPSnooping—配配置命命令（（2））ipdhcpsnoopingbinding命令：：ipdhcpsnoopingbindingenablenoipdhcpsnoopingbindingenable功能：：開啟啟DHCPSnooping綁定功功能。。參數(shù)：：無。。命令模模式：：全局局配置置模式式。缺省情情況：：DHCPSnooping綁定默默認(rèn)關(guān)關(guān)閉。。DHCPSnooping—配配置命命令（（3））ipdhcpsnoopingbindingarp命令：：ipdhcpsnoopingbindingarpnoipdhcpsnoopingbindingarp功能：：開啟啟DHCPSnooping綁定ARP功能。。參數(shù)：：無。。命令模模式：：全局局配置置模式式。DHCPSnooping—配配置命命令（（4））ipdhcpsnoopingbindingdot1x命令：：ipdhcpsnoopingbindingdot1xnoipdhcpsnoopingbindingdot1x功能：：開啟啟DHCPSnooping綁定DOT1X功能。。參數(shù)：：無。。命令模模式：：端口口配置置模式式。缺省情情況：：所有有端口口默認(rèn)認(rèn)不啟啟動綁綁定DOT1X功能。。DHCPSnooping—配配置命命令（（5））ipdhcpsnoopingbindinguser-control命令：ipdhcpsnoopingbindinguser-controlnoipdhcpsnoopingbindinguser-control功能：開啟啟DHCPSnooping綁定用戶功功能。參數(shù)：無。。命令模式：：端口配置置模式。缺省情況：：所有端口口默認(rèn)不啟啟動綁定用用戶功能。。DHCPSnooping—配置命命令（6））ipdhcpsnoopingbindinguser命令：ipdhcpsnoopingbindinguser<mac>address<ipAddr><mask>vlan<vid>interface[Ethernet]<ifname>noIpdhcpsnoopingbindinguser<mac>interface[Ethernet]<ifname>功能：配置置靜態(tài)綁定定用戶信息息。參數(shù)：<mac>：：靜態(tài)綁定用用戶的MAC地址，MAC地址是綁定定用戶的唯唯一索引值值；<ipAddr>、<mask>：靜態(tài)綁定用用戶的IP地址、掩碼碼；<vid>：：靜態(tài)綁定用用戶的所屬屬VLANID；<ifname>：：靜態(tài)綁定用用戶的接入入端口。命令模式：：全局配置置模式。缺省情況：：DHCPSnooping默認(rèn)沒有靜靜態(tài)綁定表表項。DHCPSnooping—配置命命令（7））ipdhcpsnoopingtrust命令：ipdhcpsnoopingtrustnoipdhcpsnoopingtrust功能：設(shè)置置或刪除端端口的DHCPSnooping信任屬性。。參數(shù)：無。。命令模式：：端口配置置模式。缺省情況：：所有端口口默認(rèn)為非非信任端口口DHCPSnooping—配置命命令（8））ipdhcpsnoopingaction命令：ipdhcpsnoopingaction{shutdown|blackhole}[recovery<second>]noipdhcpsnoopingaction功能：設(shè)置置或刪除端端口上的自自動防御動動作。參數(shù)：shutdown：：端口檢測到到偽裝DHCPServer時，將shutdown此端口；blackhole：端口檢測到到偽裝DHCPServer時，將以偽偽裝數(shù)據(jù)包包的vid和源mac設(shè)置blackhole來阻止此Mac的流量；Recovery：：用戶可選設(shè)設(shè)置自動防防御動作執(zhí)執(zhí)行后還可可以自動恢恢復(fù)（noshut端口或刪除除相應(yīng)的blackhole）；<second>：用戶指定多多長時間后后恢復(fù)防御御動作，單單位：秒，，范圍是10-3600。。命令模式：：端口配置置模式。缺省情況：：沒有默認(rèn)認(rèn)的防御動動作。DHCPSnooping—配置命命令（9））ipdhcpsnoopingactionMaxNum命令：ipdhcpsnoopingaction{<maxNum>|default}功能：設(shè)置置端口上同同時生效的的防御動作作數(shù)目。參數(shù)：<maxNum>：每個端口的的防御動作作數(shù)目，范范圍是1-200，，默認(rèn)為10；default：恢復(fù)默認(rèn)的的防御動作作數(shù)目。命令模式：：全局配置置模式。缺省情況：：默認(rèn)數(shù)目目為10。。DHCPSnooping—配置命命令（10）ipdhcpsnoopinglimit-rate命令：ipdhcpsnoopinglimit-rate<pps>noipdhcpsnoopinglimit-rate功能：設(shè)置置DHCP報文速率限限制。參數(shù)：<pps>：：每秒鐘轉(zhuǎn)發(fā)發(fā)的DHCP報文數(shù)量，，范圍是0-600，默認(rèn)為為100。。0表示示不再轉(zhuǎn)發(fā)發(fā)DHCP報文。命令模式：：全局配置置模式。缺省情況：：默認(rèn)數(shù)目目為100。Anti-Arpscan——配置任務(wù)務(wù)1)啟動動防ARP掃描功功能2)配置置基于端口口和基于IP的防防ARP掃掃描的閾閾值3）配置信信任端口4）配置信信任IP5)配置置自動恢復(fù)復(fù)時間6)顯示示和調(diào)試防防ARP掃掃描相關(guān)關(guān)信息Anti-Arpscan——配置命令令（1）anti-arpscanenable命令：anti-arpscanenablenoanti-arpscanenable功能：全局局啟動防ARP掃描功能；；no命令全局關(guān)關(guān)閉防ARP掃描功能。。參數(shù)：無。。缺省情況：：關(guān)閉防ARP掃描功能。。命令模式：：全局配置置模式。Anti-Arpscan——配置命令令（2）anti-arpscanport-basedthreshold<threshold-value>命令：anti-arpscanport-basedthreshold<threshold-value>noanti-arpscanport-basedthreshold功能：設(shè)置置基于端口口的防ARP掃描的接收收ARP報文的閾值值，如果接接收的ARP報文的速率率超過此設(shè)設(shè)定值，則則關(guān)閉此端端口。單位位為個/秒秒。no命令恢復(fù)為為默認(rèn)值，，即10個個/秒。。參數(shù)：速率率閾值，有有效范圍為為2-200。缺省情況：：10個個/秒。命令模式：：全局配置置模式。Anti-Arpscan——配置命令令（3）anti-arpscanip-basedthreshold<threshold-value>命令：anti-arpscanip-basedthreshold<threshold-value>noanti-arpscanip-basedthreshold功能：設(shè)置置基于IP的防ARP掃描的接收收ARP報文的閾值值，如果接接收的ARP報文的速率率超過此設(shè)設(shè)定值，則則交換機(jī)所所有端口都都禁止接收收來自此IP的IP報文，而且且和此IP相連的端口口禁止接收收來自此IP的ARP報文。單位位為個/秒秒。no命令恢復(fù)為為默認(rèn)值，，即3個個/秒。參數(shù)：速率率閾值，有有效范圍為為1-200。缺省情況：：3個/秒。命令模式：：全局配置置模式。Anti-Arpscan——配置命令令（4）anti-arpscantrust<port|supertrust-port>命令：anti-arpscantrust<port|supertrust-port>noanti-arpscantrust<port|supertrust-port>功能：配置置為信任端端口或超級級信任端口口；no命令恢復(fù)為為非信任端端口。參數(shù)：無。。缺省情況：：缺省全部部為非信任任端口。命令模式：：端口配置置模式。Anti-Arpscan——配置命令令（5）anti-arpscantrustip<ip-address>[<netmask>]命令：anti-arpscantrustip<ip-address[<netmask>]>noanti-arpscantrustip<ip-address[<netmask>]>功能：配置置信任IP；no命令恢復(fù)復(fù)為非信信任IP。參數(shù)：IP的子網(wǎng)掩掩碼。缺省情況況：缺省省所有IP都為非信信任IP。掩碼缺省省為255.255.255.255。命令模式式：全局局配置模模式。Anti-Arpscan——配置命命令（6）anti-arpscanrecoveryenable命令：anti-arpscanrecoveryenablenoanti-arpscanrecoveryenable功能：啟啟動自動動恢復(fù)功功能，no命令取消消自動恢恢復(fù)功能能。參數(shù)：無無。缺省情況況：啟動動自動恢恢復(fù)功能能。命令模式式：全局局配置模模式。Anti-Arpscan——配置命命令（7）anti-arpscanrecoverytime<seconds>命令：anti-arpscanrecoverytime<seconds>noanti-arpscanrecoverytime功能：配配置自動動恢復(fù)時時間；no命令恢復(fù)復(fù)自動恢恢復(fù)時間間為默認(rèn)認(rèn)值。參數(shù)：自自動恢復(fù)復(fù)時間值值，單位位為秒。。有效范范圍為5-86400秒。。缺省情況況：300秒秒。命令模式式：全局局配置模模式。課程內(nèi)容容第一章ARP協(xié)議原理理及其攻攻擊手段段第二章DCN防御手段段及原理理第三章DCN防御協(xié)議議配置第四章典典型型配置案案例典型案例例--拓拓?fù)鋱D192.168.1.128/24E0/0/1DCS-3950-28CTDCRS-7608IPv4192.168.1.1/24E0/0/24DHCPSRV192.168.1.10/24案例要求：1.通過Anti-Arpscan防御ARP掃描;2.通過Arp-Guard防御網(wǎng)關(guān)欺騙;3.通過DHCPSnooping綁定ARP防御交換機(jī)表項欺騙;4.通過DHCPSnooping綁定user-control防御主機(jī)欺騙。典型案例例—Anti-Arpscan配置置DCS-3950-28CT(Config)#anti-arpscanenable//全局使能能Anti-arpscan功能DCS-3950-28CT(Co