如何設(shè)置ARP防護(hù)

　　ARP是IP與MAC地址的解析協(xié)議，對(duì)網(wǎng)絡(luò)通信至關(guān)重要。但是，由于ARP沒有保護(hù)機(jī)制，所以偽造的ARP數(shù)據(jù)包會(huì)欺騙通信終端或設(shè)備，導(dǎo)致出現(xiàn)通信異常。常見的ARP欺騙軟件有“網(wǎng)絡(luò)執(zhí)法官”、“P2P終結(jié)者”、“QQ第六感”等，這些軟件中，有些是人為手工操作來破壞網(wǎng)絡(luò)，有些是作為病毒或者木馬出現(xiàn)，使用者可能根本不知道它的存在，所以更加擴(kuò)大了ARP攻擊的危害。下面學(xué)習(xí)啦小編就教大家如何設(shè)置ARP防護(hù)功能。

　　無線企業(yè)路由器的ARP防護(hù)功能的設(shè)置方法：

　　在設(shè)置ARP綁定之前，請(qǐng)給需要綁定的電腦手動(dòng)指定IP地址。

　　同時(shí)，建議查看對(duì)應(yīng)電腦的MAC地址，制作IP、MAC、電腦的表格，便于后續(xù)維護(hù)，如下：

　　注意：以上表格僅供參考，具體信息請(qǐng)根據(jù)實(shí)際需要記錄。

　　登錄路由器的管理界面，點(diǎn)擊 安全管理 >> ARP防護(hù)，在ARP防護(hù)界面添加綁定條目。有兩種添加方法：手動(dòng)逐條添加和掃描添加，具體方法請(qǐng)根據(jù)實(shí)際需要選擇，方法如下：

　　手動(dòng)添加方法：

　　手動(dòng)添加操作復(fù)雜，但是安全性高。在網(wǎng)絡(luò)中已經(jīng)存在ARP欺騙或者不確定網(wǎng)絡(luò)中是否存在ARP欺騙的情況下，建議使用手動(dòng)添加的方式。手工進(jìn)行添加，點(diǎn)擊 增加單個(gè)條目，填寫對(duì)應(yīng)的IP和MAC地址，填寫備注信息。

　　出接口：指綁定電腦所在網(wǎng)絡(luò)連接的路由器的接口。

　　掃描添加方法：

　　簡(jiǎn)單快捷，但是要確定網(wǎng)絡(luò)中沒有ARP欺騙，否則綁定錯(cuò)誤的IP/MAC條目可能導(dǎo)致內(nèi)網(wǎng)部分主機(jī)無法上網(wǎng)。 點(diǎn)擊ARP掃描，點(diǎn)擊 開始掃描，此時(shí)等待一會(huì)，路由器會(huì)自動(dòng)查找當(dāng)前內(nèi)網(wǎng)的主機(jī)，并顯示主機(jī)的IP和MAC地址信息，如下圖所示：

　　點(diǎn)擊 全選，再點(diǎn)擊 導(dǎo)入，所有的綁定條目就設(shè)置完成了。

　　注意：ARP掃描的功能也可以掃描WAN口的網(wǎng)段，可以通過掃描綁定WAN口網(wǎng)關(guān)地址防止前端ARP欺騙(寬帶撥號(hào)無需綁定)。

　　局域網(wǎng)中電腦的IP與MAC全部綁定完成后，在功能設(shè)置中，勾選 啟用ARP防欺騙功能，點(diǎn)擊 設(shè)置。

　　注意：如果勾選 僅允許IP MAC綁定的數(shù)據(jù)包通過路由器，則不在綁定列表或與綁定列表沖突的電腦不能上網(wǎng)及管理路由器。

　　在路由器管理界面左上角點(diǎn)擊 保存。

　　至此，路由器防止ARP欺騙設(shè)置完成。

　　僅在路由器上綁定主機(jī)的MAC地址并不能完全解決ARP欺騙的問題，在主機(jī)上綁定路由器的MAC地址，即雙向綁定，則可以徹底解決欺騙問題。以下介紹不同操作系統(tǒng)電腦的綁定方法：

　　Windows XP系統(tǒng)：

　　在電腦上建立一個(gè)文本文件，寫入ARP綁定命令：arp –s IP MAC，如下圖。

　　注意：IP是路由器的管理地址(192.168.1.1)，MAC是路由器LAN口的MAC地址(01-02-03-04-05-06)。

　　保存之后將該文件修改為.bat后綴的批處理文件，比如“arp.bat”。然后將其放入系統(tǒng)啟動(dòng)項(xiàng)中，以后系統(tǒng)每次開機(jī)時(shí)都會(huì)執(zhí)行該綁定命令。如圖所示：

　　Windows 7系統(tǒng)：

　　1、打開命令提示符，使用命令：netsh i i show in查看網(wǎng)卡idx編號(hào);

　　2、查詢到網(wǎng)卡idx編號(hào)后，再使用命令 netsh –c i i add neighbors idx ip mac進(jìn)行ARP綁定，如下：

　　3、使用arp –a的命令可以查詢到綁定是否生效，如下圖所示：

　　設(shè)置完成后，電腦重啟，ARP綁定條目也不會(huì)失效。

　　注意：Windows 8系統(tǒng)的綁定方法和Windows 7相同，如果需要?jiǎng)h除ARP綁定條目，只需要輸入命令：

　　Netsh –c i i delete neighbors idx(idx表示編號(hào))，重啟電腦后，綁定刪除。

　　至此全部的設(shè)置就完成了，后續(xù)則無需擔(dān)心ARP欺騙給網(wǎng)絡(luò)帶來的影響。

　　企業(yè)路由器設(shè)置過程中，ARP綁定方面問題解答如下：

　　問：設(shè)置ARP綁定不生效，怎么辦?

　　答：由于ARP欺騙是雙向的，請(qǐng)確認(rèn)已經(jīng)在路由器及電腦上都做好ARP綁定，同時(shí)確保內(nèi)網(wǎng)電腦的IP地址是手動(dòng)指定的。

　　問：設(shè)置ARP綁定后，電腦上不了網(wǎng)怎么辦?

　　答：確保上不了網(wǎng)的電腦ARP信息在路由器綁定列表，如果信息不一致，請(qǐng)修正設(shè)置;如果路由器上勾選了“僅允許綁定的IP MAC數(shù)據(jù)包通過路由器”，請(qǐng)確保上不了網(wǎng)的電腦已經(jīng)在路由器上做了綁定。

　　問：僅啟用“防ARP欺騙功能”與“僅允許綁定的IP MAC數(shù)據(jù)包通過路由器”有什么區(qū)別?

　　答：兩者都是防止ARP欺騙的，區(qū)別在于：?jiǎn)⒂脙H允許綁定IP MAC數(shù)據(jù)包通過路由器，則沒有做綁定及綁定信息與路由器設(shè)置的條目不符的電腦，無法上網(wǎng)，也不可以管理路由器。僅設(shè)置啟用防ARP欺騙，沒有設(shè)置綁定的電腦還是可以上網(wǎng)的(但電腦參數(shù)與綁定條目不符的，同樣無法上網(wǎng)及管理路由器)。

　　問：為何開啟綁定后，界面卡死(無法操作)

　　答：設(shè)置ARP綁定的時(shí)候，建議先添加綁定條目，然后再開啟綁定開關(guān)。如果先開啟強(qiáng)制綁定的開關(guān)，那么如果列表為空，則會(huì)導(dǎo)致管理主機(jī)無法管理路由器，表現(xiàn)出來管理頁面卡死的現(xiàn)象。