2  网关设备侧攻击防范

2.1  二层交换机（接入设备）配置规范

?  在与PC直接相连的端口上配置静态MAC同时禁止动态学习MAC

注：配置顺序一定要注意，要先配置静态MAC再在端口下禁止動态学习MAC；如要对静态MAC绑定的数据做任何修改和删除，也要先在对应端口下删除mac-address max-mac-count 0修改完成后再在端口重新添加mac-address max-mac-count 0。否则设备易出错切记！

完成了如上配置后，某端口下只能连接指定MAC的PC如果有非法PC企图接入网络或原合法PC机中毒后企图发起一些变换MAC的攻击，则新的MAC地址不会被端口所学习这样，大大加强了二层网络的安全性 

2.2  三层交换机（网关设备）配置规范

?  在三层交换机上配置静态ARP绑定下挂PC机的IP与MAC地址，防止下挂PC随意变动IP地址或发起ARP攻击：

2.3  交换机既作网关又作接入时的配置规范（综合前两项）

?  在与PC直接相连的端口上配置静态MAC同时禁圵动态学习MAC 

?  配置静态ARP绑定下挂PC机的IP与MAC地址，防止下挂PC随意变动IP地址或发起ARP攻击