ARP检查

安全网关支持接口的ARP检查功能。开启该功能后，系统会对通过接口的所有ARP包进行检查，将ARP包的IP地址与系统ARP表中的静态表项以及DHCP监控列表中的IP-MAC绑定表项进行对比：

• 如果IP地址在ARP表中，并且与表中记录的MAC地址相同，则继续转发该ARP包；
• 如果IP地址在ARP表中，但是与表中记录的MAC地址不一致，系统将丢弃该ARP包；
• 如果IP地址不在ARP表中，则继续检查该IP地址是否在DHCP监控列表中；
• 如果IP地址在DHCP监控列表中，并且与表中记录的MAC地址相同，则继续转发该ARP包；
• 如果IP地址在DHCP监控列表中，但是与表中记录的MAC地址不一致，系统将丢弃该ARP包；
• 如果IP地址不在DHCP监控列表中，则根据配置进行丢弃或者转发。

本节介绍ARP检查配置。

ARP检查配置

StoneOS的VSwitch接口以及VLAN均支持ARP检查功能。默认情况下，该功能是关闭的。

配置ARP检查功能，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全ARP防护”，进入ARP防护页面。
2. 点击页面右上方的『ARP检查』链接，弹出<ARP检查>对话框。
3. 配置VLAN的ARP检查功能，在<Vlan(范围：1-4094)>文本框中输入VLAN ID，然后点击『添加』按钮，指定的VLAN将显示在下方的列表中。选中VLAN对应的<检查>复选框，开启VLAN的ARP检查功能，然后根据需要选择丢弃或者转发IP地址不在ARP表中的ARP包。
4. 配置其他接口的ARP检查功能。
5. 如果需要配置可信接口（通过可信接口的数据包将不会受到ARP检查），点击『高级』标签，进入<高级>标签页，选中不做ARP检查的接口的复选框。如果有需要，双击接口对应的ARP速率值（接口每秒接受ARP包的个数。当每秒钟接收ARP包的个数超过该指定值时，系统将丢弃超出的ARP包），然后进行修改。ARP包速率取值范围是0到10000。默认值是0，即无速率限制。
6. 点击『确定』按钮保存所做配置并返回ARP防护页面。