配置ARP网关保护功能：抵御伪造网关攻击

"本文档详细介绍了如何在H3C路由器上配置ARP网关保护功能，以防止伪造网关攻击。ARP网关保护功能主要用于设备上不与网关直接相连的接口，可有效拦截非法ARP报文。配置时，每个接口最多可设置8个被保护的网关IP地址，并需要注意与ARP Detection、MFF、ARP Snooping和ARP快速应答等其他功能的配合使用顺序。此外，文档还提到了配置该功能的一些限制，如不能同时配置`arp filter source`和`arp filter binding`命令。配置步骤包括进入系统视图和二层以太网接口视图，并根据设备型号进行相应的操作。本指南适用于H3CMSR系列路由器，如MSR2600、MSR3600和MSR5600等，旨在帮助网络规划人员、技术支持人员和网络管理员进行设备的基础配置和管理。" 本文档是针对H3C路由器的配置指导，特别是关于ARP网关保护功能的配置。ARP网关保护功能是一个安全特性，用于防止恶意攻击者通过发送伪造的ARP报文来篡改网络中的路由信息，可能导致数据包被错误地转发或泄露网络信息。在H3C的设备上，此功能可以在非直连网关的接口上启用，当接口接收到ARP请求时，会检查源IP地址是否匹配已配置的保护网关IP。匹配则丢弃，不匹配则正常处理。 配置ARP网关保护功能时有以下几点需要注意： 1. 单个接口最多可配置8个被保护的网关IP地址。 2. 不可以在同一个接口下同时应用`arp filter source`和`arp filter binding`命令，这两者不能同时启用。 3. 当此功能与其他如ARP Detection、MFF（多接口复用功能）、ARP Snooping（ARP嗅探）和ARP快速应答等功能配合使用时，ARP网关保护功能的检查会优先进行，只有通过了该检查，其他功能才会继续执行。 配置步骤包括： 1. 进入系统视图，使用命令`system-view`。 2. 进入相应的二层以太网接口视图，命令格式为`interface interface-type interface-number`，具体类型和编号需根据设备型号确定。 文档还提到，本手册适用于H3CMSR系列的多种路由器型号，并指出读者群体主要是网络规划人员、技术支持与维护人员以及网络管理员。此外，书中还对命令行格式进行了约定，如粗体表示命令关键字，斜体表示需要替换的实际值。 该文档作为H3CMSR系列路由器配置指导的一部分，旨在提供设备的基本配置和管理的指导，包括CLI配置、设备登录、文件系统管理、配置文件管理、软件升级和设备管理等多个方面。虽然内容可能因产品版本更新而有所变化，但其提供了清晰的操作步骤和配置实例，有助于用户有效地管理和保护网络设备。