ARP簡介

ARP（Address Resolution Protocol，地址解析協(xié)議）用于將網絡層的IP地址解析為數(shù)據鏈路層的物理地址。網絡上的一臺主機把以太網數(shù)據幀發(fā)送到位于同一局域網上的另一臺主機時，是根據主機的數(shù)據鏈路層地址（包括MAC地址）進行轉發(fā)的，設備驅動程序從不檢查IP數(shù)據報中的目的IP地址，所以這就需要將IP地址解析為數(shù)據鏈路層地址。

ARP欺騙

按照ARP協(xié)議的設計，一個主機也會接收不是自己主動請求的ARP應答，并將應答中的IP地址和物理地址添加到ARP表中，這樣設計是為了減少網絡上過多的ARP通信量，但同時也為“ARP欺騙”創(chuàng)造了條件。

ARP欺騙的方式有多種，中間人攻擊、網關欺騙、主機欺騙等等。一般來說，ARP欺騙攻擊的后果非常嚴重，大多數(shù)情況下會造成大面積頻繁掉線，嚴重的會威脅到網絡安全，如網游、網銀的帳號被盜等安全問題。

ARP防護

傳統(tǒng)的ARP防護措施是在寬帶路由器和計算機上進行雙向綁定，但是仍然存在兩個不足：

1、每臺計算機上均需要添加批處理文件，對于大中型的網吧、校園網等來說，工作量太大；

2、傳統(tǒng)的雙向綁定只保證上互聯(lián)網不受欺騙，但是內網的計算機與計算機之間的安全沒有保障；

綜合以上兩個不足及ARP攻擊的特點，二層網關交換機的四元綁定功能給出了有效的防ARP攻擊解決方案。通過對交換機每個端口進行分析，杜絕ARP欺騙報文從任何一個端口轉發(fā)，同時保證了內部和外部網絡安全。

用戶需求

某企業(yè)網絡結構如下圖，交換機TL-SL5428下接有26臺主機，1臺文件服務器。

設置步驟

1、設定綁定列表。綁定列表添加的方式有“手動綁定”和“掃描綁定”兩種。這里手動添加文件服務器和兩臺局域網主機進去分別到交換機的27、1、2口。

添加完成如下圖：

如果局域網電腦較多，我們可以采取掃描綁定的方式，設定掃描“起始IP地址”和“結束IP地址”后，點擊掃描。

得到掃描結果后，選擇需要綁定的條目，“防護范圍”選擇“ARP防護”后點擊“綁定”按鈕。

綁定后可以在綁定列表中查看相應條目。

2、確認網絡中的特殊端口，特殊端口是針對交換機而言的，交換機對特殊端口的ARP報文直接轉發(fā)。可將與交換機或者路由器級聯(lián)的端口設置為特殊端口，上圖中可將28號端口設置為特殊端口。

3、設置ARP防護功能。選定特殊端口28后，啟用“防ARP欺騙”并提交。

至此ARP防護的設置完成。