H3C接入交換機有很多值得學習的地方，這里我們主要介紹H3C接入交換機的配置IP靜態綁定表項。開啟DHCP Snooping功能后，H3C接入交換機根據設備的不同特點可以分別采取監聽DHCP-REQUEST廣播報文和DHCP-ACK單播報文的方法來記錄用戶獲取的IP地址等信息。

目前，H3C接入交換機的DHCP Snooping表項主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口信息、租約信息。為了防止ARP中間人攻擊，H3C接入交換機支持將收到的ARP(請求與回應)報文重定向到CPU，結合DHCP Snooping安全特性來判斷ARP報文的合法性并進行處理，具體如下。

當ARP報文中的源IP地址及源MAC地址的綁定關系與DHCP Snooping表項或者手工配置的IP靜態綁定表項匹配，且ARP報文的入端口及其所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態綁定表項一致，則為合法ARP報文，進行轉發處理。

當ARP報文中的源IP地址及源MAC地址的綁定關系與DHCP Snooping表項或者手工配置的IP靜態綁定表項不匹配，或ARP報文的入端口，入端口所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態綁定表項不一致，則為非法ARP報文，直接丟棄，并通過Debug打印出丟棄信息提示用戶。

手工配置IP靜態綁定表項

DHCP Snooping表只記錄了通過DHCP方式動態獲取IP地址的客戶端信息，如果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會被DHCP Snooping表記錄，因此不能通過基于DHCP Snooping表項的ARP入侵檢測，導致用戶無法正常訪問外部網絡。

為了能夠讓這些擁有合法固定IP地址的用戶訪問網絡，H3C接入交換機支持手工配置IP靜態綁定表的表項，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關系。以便正常處理該用戶的報文。

ARP信任端口設置

由于實際組網中，H3C接入交換機的上行口會接收其他設備的請求和應答的ARP報文，這些ARP報文的源IP地址和源MAC地址并沒有在DHCP Snooping表項或者靜態綁定表中。為了解決上行端口接收的ARP請求和應答報文能夠通過ARP入侵檢測問題，交換機支持通過配置ARP信任端口，靈活控制ARP報文檢測功能。對于來自信任端口的所有ARP報文不進行檢測，對其它端口的ARP報文通過查看DHCP Snooping表或手工配置的IP靜態綁定表進行檢測。