三层交换机怎么防止IP和MAC被篡改？

三层交换机主要通过静态ARP绑定、端口MAC绑定、VLAN逻辑隔离及ARP防护联动机制协同防范IP与MAC地址被非法篡改。具体而言，管理员可在设备上执行`arp ip-address mac-address arpa`命令固化关键终端的IP-MAC映射关系，并将未分配IP统一绑定至无效MAC（如0000.0000.0000），使擅自修改IP的终端仅能访问本子网而无法跨网通信；结合端口级MAC地址学习限制与VLAN广播域划分，可阻断同网段内地址仿冒行为；在华为等主流厂商设备中，进一步启用VRRP+ARP检测联动策略，对虚拟网关及主备网关的ARP报文实施源MAC校验与合法性过滤，从协议层筑牢防篡改防线。

一、静态ARP绑定与无效地址池配置

执行静态ARP绑定时，需逐条录入核心设备（如服务器、打印机、网管终端）的IP-MAC映射，命令格式为“arp 192.168.10.5 0011.2233.4455 arpa”，确保三层交换机转发数据包时严格依据该表项寻址。对于DHCP地址池中未分配的剩余IP，必须全部执行“arp 192.168.10.100 0000.0000.0000 arpa”类绑定操作，此举可使非法修改为该IP的终端在尝试访问网关或跨VLAN资源时，因目标MAC不可达而触发ARP超时，仅保留在本VLAN内的二层通信能力，有效遏制横向渗透风险。

二、端口级MAC地址学习控制

在接入层端口启用端口安全机制，配置“port-security max-mac-num 1”限制单端口仅学习一个合法MAC，并设置违规处理模式为“protect”或“restrict”，当检测到第二个MAC报文即丢弃且记录日志。同时结合“mac-address static”命令将已知终端MAC固化至对应端口，配合“mac-address aging-time 0”关闭老化，避免动态学习被绕过。该策略对固定办公场景尤为有效，可杜绝同一物理端口下更换终端设备并篡改IP-MAC组合的行为。

三、VLAN划分与ARP检测联动防护

按部门、职能或安全等级划分VLAN，例如财务VLAN仅允许192.168.20.0/24网段通行，通过ACL限制跨VLAN IP访问权限。在此基础上，在华为交换机中启用“arp anti-attack gateway-detect enable”，并配置“arp detection validate src-mac dst-mac ip”开启三项源校验；再结合VRRP虚拟网关的静态ARP绑定（如绑定192.168.10.254至VRRP虚拟MAC），实现对网关ARP请求与应答的双向合法性验证，从协议栈底层拦截伪造网关响应的中间人攻击。

四、验证与持续运维要点

完成配置后，须使用“display arp all”核对静态条目状态，“display mac-address port Ethernet0/0/1”确认端口MAC绑定结果，并通过“ping -a 192.168.10.100 192.168.10.254”模拟非法IP访问测试阻断效果。建议每月导出ARP表与MAC表进行比对审计，发现异常漂移及时追溯端口日志。

综上，多层技术协同构建纵深防御体系，兼顾策略刚性与运维可行性。