ARP检查

ARP检查

策略 > ARP防护 > ARP检查

用户可以在接口上启用ARP检查功能，对所有通过接口的ARP包进行检查，将ARP包的IP地址与系统ARP表中的静态表项以及DHCP监控列表中的IP-MAC绑定表项进行对比：

如果IP地址在ARP表中，并且与表中记录的MAC地址相同，则继续转发该ARP包；
如果IP地址在ARP表中，但是与表中记录的MAC地址不一致，系统将丢弃该ARP包；
如果IP地址不在ARP表中，则继续检查该IP地址是否在DHCP监控列表中；
如果IP地址在DHCP监控列表中，并且与表中记录的MAC地址相同，则继续转发该ARP包；
如果IP地址在DHCP监控列表中，但是与表中记录的MAC地址不一致，系统将丢弃该ARP包；
如果IP地址不在DHCP监控列表中，则根据配置进行丢弃或者转发。

在ARP检查配置页面可以执行以下操作：

点击『新建』按钮，或双击列表中的表项，在<接口配置>对话框中配置VLAN或接口的ARP检查功能。
点击『删除』按钮，删除列表中选中的ARP检查条目。
点击<高级配置>，配置可信任接口（通过可信任接口的数据包将不会受到ARP检查）。

<接口配置>对话框选项说明：

选项	说明
VLAN ID	在文本框中输入需要启用ARP检查的VLAN ID。
ARP检查	选中<启用>复选框框开启ARP检查。
行为	选择丢弃或者转发IP地址不在ARP表中的ARP包。

<高级配置>对话框选项说明：

选项	说明
编辑	配置选中接口的ARP速率，即接口每秒接受ARP包的个数。当每秒钟接收ARP包的个数超过该指定值时，系统将丢弃超出的ARP包。ARP包速率取值范围是0到10000。默认值是0，即无速率限制。
信任/不信任	配置可信任和不可信任接口。通过可信任接口的数据包将不会受到ARP检查，通过不可信任接口的数据包将会受到ARP检查。