[ER61/R系列] ARP防护设置指导

一、应用介绍

ARPIPMAC地址的解析协议,对网络通信至关重要。但是,由于ARP没有保护机制,所以伪造的ARP数据包会欺骗通信终端或设备,导致出现通信异常。常见的ARP欺骗软件有网络执法官“P2P终结者“QQ第六感等,这些软件中,有些是人为手工操作来破坏网络,有些是作为病毒或者木马出现,使用者可能根本不知道它的存在,所以更加扩大了ARP攻击的危害。

一般情况下,上网数据直接在主机和网关之间进行交互,ARP欺骗主要针对网关和主机的ARP列表进行欺骗,导致通信异常。那么ARP防护就需要从两个方面着手,在网关上绑定主机的ARP信息,在主机上绑定网关的ARP信息,从而实现双向绑定,确保网络安全。

本文介绍企业路由器的ARP防护功能的设置方法。

二、准备操作

在设置ARP绑定之前,请给需要绑定的电脑手动指定IP地址。

如果不清楚如何设置,请参考:如何给终端手动指定IP地址?

同时,建议查看对应电脑的MAC地址,制作IPMAC、电脑的表格,便于后续维护,如下:

注意:以上表格仅供参考,具体信息请根据实际需要记录。

三、设置方法

1、添加绑定条目

登录路由器的管理界面,点击 安全管理 >> ARP防护,在ARP防护界面添加绑定条目。有两种添加方法:手动逐条添加和扫描添加。具体方法请根据实际需要来选择,方法如下:

手动添加方法:

手动添加操作复杂,但是安全性高。在网络中已经存在ARP欺骗或者不确定网络中是否存在ARP欺骗的情况下,建议使用手动添加的方式。手工进行添加,填写需要绑定的电脑的IPMAC地址,填写备注信息,再点击 新增

扫描添加方法:

简单快捷,但是要确定网络中没有ARP欺骗,否则绑定错误的IP/MAC条目可能导致内网部分主机无法上网。点击 ARP扫描,在扫描范围输入需要扫描的IP地址段后,点击 开始扫描,此时等待一会,路由器会自动查找当前内网的主机,并显示主机的IPMAC地址信息,如下图所示:

注意ARP扫描只能检测当前网络中的活动主机,如果主机处于关机状态,则ARP扫描无法发现该主机。

点击 全选,再点击 导入,所有的绑定条目就设置完成了。

注意ARP扫描的功能也可以扫描WAN口的网段,可以通过扫描绑定WAN口网关地址防止前端ARP欺骗(宽带拨号无需绑定)。

2、启用ARP绑定功能

局域网中电脑的IPMAC全部绑定完成后,在功能设置中,确认已勾选 启用ARP防欺骗功能,点击 保存

注意:如果勾选 仅允许IP MAC绑定的数据包通过路由器,则不在绑定列表或与绑定列表冲突的电脑不能上网或管理路由器。

至此,路由器防止ARP欺骗设置完成。

3、电脑绑定网关ARP信息

仅在路由器上绑定主机的MAC地址并不能完全解决ARP欺骗的问题,在主机上绑定路由器的MAC地址,即双向绑定,就可以彻底解决欺骗问题。以下介绍不同操作系统电脑的绑定方法:

Windows XP系统:

在电脑上建立一个文本文件,写入ARP绑定命令:arp –s  IP MAC,如下图。

注意IP是路由器的管理地址(192.168.1.1),MAC是路由器LAN口的MAC地址(01-02-03-04-05-06)。

保存之后将该文件修改为.bat后缀的批处理文件,比如“arp.bat”。然后将其放入系统启动项中,以后系统每次开机时都会执行该绑定命令。如图所示:

Windows 7系统:

[1] 打开命令提示符,使用命令:netsh i i show in查看网卡idx编号;

[2] 查询到网卡idx编号后,再使用命令 netsh –c i i add neighbors idx ip mac进行ARP绑定,如下:

[3] 使用arp –a的命令可以查询到绑定是否生效,如下图所示:

设置完成后,电脑重启,ARP绑定条目也不会失效。

注意Windows 10/Windows 8系统的绑定方法和Windows 7相同,如果需要删除ARP绑定条目,只需要输入命令:

netsh –c i i delete neighbors idx(idx表示编号),重启电脑后,绑定删除。

至此全部的设置就完成了,后续无需担心ARP欺骗给网络带来的影响。

四、疑问解答

1、设置ARP绑定不生效,怎么办?

由于ARP欺骗是双向的,请确认已经在路由器及电脑上都做好ARP绑定,同时确保内网电脑的IP地址是手动指定的。

2、设置ARP绑定后,电脑上不了网怎么办?

确保上不了网的电脑ARP信息在路由器绑定列表,如果信息不一致,请修正设置;如果路由器上勾选了仅允许绑定的IP MAC数据包通过路由器,请确保上不了网的电脑已经在路由器上做了绑定。

3、仅启用ARP欺骗功能仅允许绑定的IP MAC数据包通过路由器有什么区别?

两者都是防止ARP欺骗的,区别在于:启用仅允许绑定IP MAC数据包通过路由器,则没有做绑定或绑定信息与路由器设置的条目不符的电脑,无法上网,也不可以管理路由器。仅设置启用防ARP欺骗,没有设置绑定的电脑还是可以上网的(但电脑参数与绑定条目不符的,同样无法上网及管理路由器)。

4、为何开启绑定后,界面卡死(无法操作)?

设置ARP绑定的时候,建议先添加绑定条目,然后再开启绑定开关。如果先开启强制绑定的开关,那么当列表为空时,会导致管理主机无法管理路由器,表现出来管理页面卡死的现象。