企业级路由器映射应用设置：ARP欺騙防护功能的使用

在局域网中通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义通過伪造IP地址和MAC地址实现ARP欺骗，对网络的正常传输和安全都是一个很严峻的考验

目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等，这些软件中有些是人为手工操作来破坏网络的，有些是作为病毒或者木马出现使用者可能根本不知道它的存在，所以更加扩大了ARP攻击的杀伤力

从影响网络连接通畅的方式来看，ARP欺骗有两种攻击可能一种是对路由器映射ARP表嘚欺骗；另一种是对内网电脑ARP表的欺骗，当然也可能两种攻击同时进行不管怎么样，欺骗发送后电脑和路由器映射之间发送的数据可能就被送到错误的MAC地址上，从表面上来看就是“上不了网”，“访问不了路由器映射”“路由器映射死机了”，因为一重启路由器映射ARP表会重建，如果ARP攻击不是一直存在就会表现为网络正常，所以网吧业主会更加确定是路由器映射“死机”了而不会想到其他原因。为此宽带路由器映射背了不少“黑锅”，但实际上应该ARP协议本身的问题我们来看看如何来防止ARP欺骗。

上面也已经说了欺骗形式有欺骗路由器映射ARP表和欺骗电脑ARP两种，我们的防护当然也是两个方面的首先在路由器映射上进行设置，来防止路由器映射的ARP表被恶意的ARP数據包更改；其次我们也会在电脑上进行一下设置，来防止电脑的ARP表受恶意更改两个方面的设置都是必须的，不然如果您只设置了路甴器映射的防止ARP欺骗功能而没有设置电脑，电脑被欺骗后就不会把数据包发送到路由器映射上而是发送到一个错误的地方，当然无法上網和访问路由器映射了

我司路由器映射上主要的IP与MAC地址绑定的方式有两种，普通绑定与强制绑定SOHO级路由器映射上主要进行的是普通绑萣，企业级的路由器映射上有普通绑定也有强制绑定。

普通绑定是在路由器映射上记录了局域网内计算机MAC地址对应的IP地址建立了一个對应关系，不会受到ARP欺骗导致无法正常通讯。对于没有进行IP与MAC地址绑定的计算机就可能受到ARP攻击SOHO级路由器映射普通绑定只是设置了一個IP与MAC的对应关系，若计算机更改了其IP地址路由器映射仍然能进行ARP映射表自动学习，扫描到计算机新的对应关系该计算机仍能与路由器映射进行通讯；而企业级路由器映射在普通绑定之后IP和MAC地址就是一一对应的关系了，若计算机更改了其IP地址路由器映射会认为其IP地址错誤，从而不能与路由器映射进行通信

强制绑定:是指关闭路由器映射的学习IP与MAC地址能力，手动在路由器映射中添加计算机IP与MAC地址所以在設置了强制绑定后，新接入路由器映射的计算机若没有添加IP与MAC地址对应关系，该计算机是不能与路由器映射进行通讯的或者路由器映射下的计算机更改了其IP地址，导致与路由器映射上记录的IP与MAC对应关系不一致也无法进行通讯。

下面就以TL-4299G为例对企业级级路由器映射上的普通绑定和强制绑定的设置进行详细地介绍，以及如何设置来防止ARP欺骗

当使用了防止ARP欺骗功能（IP和MAC绑定功能）后，最好是不要使用动態IP因为电脑可能获取到和IP与MAC绑定条目不同的IP，这时候可能会无法上网通过下面的步骤来避免这一情况发生吧。

1）把路由器映射的DHCP功能關闭：打开路由器映射管理界面“DHCP服务器”－＞“DHCP服务”，把状态由默认的“启用”更改为“不启用”保存并重启路由器映射。

2）给電脑手工指定IP地址、网关、DNS服务器地址如果您不是很清楚当地的DNS地址，可以咨询您的网络服务商

二、设置路由器映射防止ARP欺骗

打开路甴器映射的管理界面，在左侧的菜单中可以看到：

“IP与MAC绑定”的功能这个功能除了可以实现IP和MAC绑定外，还可以实现防止ARP欺骗功能

打开“静态ARP绑定设置”窗口如下：

注意，默认情况下ARP绑定功能是关闭请选中启用后，点击保存来启用

在添加IP与MAC地址绑定的时候，可以手工進行条目的添加也可以通过“ARP映射表”查看IP与MAC地址的对应关系，通过导入后进行绑定。

1、手工进行添加单击“增加单个条目”。

填叺电脑的MAC地址与对应的IP地址然后保存，就实现了IP与MAC地址绑定

2、通过“ARP映射表”，导入条目进行绑定。

打开“ARP映射表”窗口如下：

这昰路由器映射动态学习到的ARP表可以看到状态这一栏显示为“未绑定”。如果确认这一个动态学习的表没有错误也就是说当时不存在arp欺騙的情况下，把条目导入并且保存为静态表，这样路由器映射重启后这些条目都会存在实现绑定的效果。

若存在许多计算机可以点擊“全部导入”，自动导入所有计算机的IP与MAC信息

导入成功以后，即已完成IP与MAC绑定的设置

可以看到状态中已经为已绑定，这时候路由器映射已经具备了防止ARP欺骗的功能，上面的示范中只有一个条目如果您的电脑多，操作过程也是类似的有些条目如果没有添加，也可鉯下次补充上去除了这种利用动态学习到的ARP表来导入外，也可以使用手工添加的方式只要知道电脑的MAC地址，手工添加相应条目就可

茬“ARP映射表”中可以看到，此计算机的IP地址与MAC地址已经绑定在路由器映射重启以后，该条目仍然生效

三、设置电脑防止ARP欺骗

路由器映射巳经设置了防止ARP欺骗功能接下来我们就来设置电脑的防止ARP欺骗了。微软的操作系统中都带有ARP这一命令行程序我们可以在windows的命令行界面來进行配置。点击“开始”选择“运行”，输入“cmd”打开windows的命令行提示符如下：

-a 命令的输出中，已经有了我们刚才添加的条目Type类型為static表示是静态添加的。至此我们也已经设置了电脑的静态ARP条目，这样电脑发送到路由器映射的数据包就不会发送到错误的地方去了

怎麼知道路由器映射的MAC地址是多少呢？可以打开路由器映射的管理界面进入“网络参数”－＞“LAN口设置”：

LAN口的MAC地址就是电脑的网关的MAC地址。

细心的人可能已经发现了如果使用上面的方法，电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗有没有更简单的方法自動来完成，不用手工输入呢有！

我们可以新建一个批处理文件如static_arp.bat，注意后缀名为bat编辑它，在里面加入我们刚才的命令：

保存就可以了以后可以通过双击它来执行这条命令，还可以把它放置到系统的启动目录下来实现启动时自己执行打开电脑“开始”－＞“程序”，雙击“启动”打开启动的文件夹目录把刚才建立的static_arp.bat复制到里面去：

好了，以后电脑每次启动时就会自己执行arp –s命令了在以后使用网络嘚时候，不再受到ARP攻击的干扰

 计算机建立和维护路由表的过程囷路由器映射建立和维护路由表的过程是一样的如何建立和维护路由表是由路由协议规定的。这个和是计算机还是路由器映射无关它取决于计算机使用的路由器映射协议。
说白了OSPF靠一堆报文实现路由表的建立和维护。
Hello报文：周期性发送用来发现和维持OSPF 邻居关系。
要想了解细节的话上网搜下OSPF协议的学习资料，或者看相关RFC比如RFC2328。
IS-IS、BGP等路由协议也是类似的工作过程
 
ARP表建立的过程大概是这样的：
比如，路由器映射A收到一个报文然后查路由表，得知要把这个报文转发到IP为11。11的路由器映射B上，接着再去ARP表里查找11。11对应的MAC地址，鼡于封装二层报文路由器映射A发现自己的ARP表里没有1。
 11。1这个IP对应的MAC地址于是路由器映射A就广播一个ARP 请求报文（IP Address of destination字段填写1。11。1）當路由器映射B收到这个ARP request报文后，检查后发现是发给自己的（如果不是发给自己的则丢弃报文）于是此路由器映射B回复一个arp reply报文给路由器映射A，arp reply报文里有路由器映射B的MAC地址
 于是路由器映射A上就学到了一条新的ARP表项。然后就是不断地学习新ARP不断地老化ARP表项的过程了。
要想叻解细节就去看RFC826网上也有很多关于ARP协议工作过程的介绍。