防范方法是：在交换机上启用DHCP探测。首先，在交换机的全局模式下启用DHCP探测，其命令为：

Switch(config)#ip dhcp snooping

接下来，指定要探测的VLAN，命令为：

Switch(config)#ip dhcp snooping vlan 2

然后，将DHCP服务器所在端口设置为信任端口，命令为：

Switch(config-if)#ip dhcp snooping trust

最后，限制其他不可信端口的DHCP分组速率，命令为：

Switch(config-if)#ip dhcp snooping limit rate rate

(4).防范ARP欺骗攻击

ARP地址欺骗类病毒是一类特殊的病毒，该病毒一般属于木马病毒，不具备主动传

播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。其实， 我们只需要在交换机上绑定MAc地址，就能让ARP病毒无用武之地。

首先，在交换机上启用端口安全，命令为：

Switch(config-if)#switchport port-security

然后，指定允许的MAC地址，以便允许合法的MAC地址访问，命令为：

Switch(config-if)#switchport port-security mac-address 000A.E698.84B7

当然，上述操作是静态指定地址，比较麻烦。我们也可以动画获悉MAC，然后在端口上限制最大允许学习的MAC数目，命令为：

Switch(config-if)#switchport port-security 24

然后定义如果MAC地址违规则采取怎样的措施，命令为：

Switch(config-if)#switchport port-security vislation shutdown

其中shutdown是回闭，restrrict是丢弃并记录、警报，protect是丢弃但不记录。

以上就是有关杜绝交换机的攻击的技术细节。相信确保交换机这三个方面的安全设置，并配合相应的规章、制度，就一定能够保证交换机的安全。