應用介紹
ARP是IP與MAC地址的解析協議,對網絡通信至關重要。一般情況下,上網數據直接在主機和網關之間進行交互,ARP欺騙主要針對網關和主機的ARP列表進行欺騙,導致通信異常。常見的ARP欺騙軟件有“網絡執法官”、“P2P終結者”、“QQ第六感”等。那麼ARP防護就需要從兩個方面著手,在網關上綁定主機的ARP信息,在主機上綁定網關的ARP信息,從而實現雙向綁定,確保網絡安全。
R系列新平臺路由器的ARP防護功能的設置方法。
設置方法
1.手動指定綁定電腦的IP地址
在設置ARP綁定之前,請給需要綁定的電腦手動指定IP地址。
同時,建議查看對應電腦的MAC地址,製作IP、MAC、電腦的表格,便於後續維護,如下圖所示:
2.路由器上添加綁定條目
登錄路由器的管理界面,點擊“安全管理>ARP防護>IP-MAC綁定”,在IP-MAC綁定界面添加綁定條目。有兩種添加方法:手動逐條添加和掃描添加。具體方法請根據實際需要來選擇,方法如下:
手動添加方法:
手動添加操作複雜,但是安全性高。在網絡中已經存在ARP欺騙或者不確定網絡中是否存在ARP欺騙的情況下,建議使用手動添加的方式。手工進行添加,先點擊 新增 ,填寫需要綁定的電腦的IP和MAC地址,選擇生效域,填寫備註信息,並點擊“確定”。如下圖所示:
掃描添加方法:
簡單快捷,但是要確定網絡中沒有ARP欺騙,否則綁定錯誤的IP/MAC條目可能導致內網部分主機無法上網。在掃描範圍輸入需要掃描的IP地址段後,點擊“開始掃描”,此時等待一會,路由器會自動查找當前內網的主機,並顯示主機的IP和MAC地址信息,如下圖所示:
注意:ARP掃描只能檢測當前網絡中的活動主機,如果主機處於關機狀態,則ARP掃描無法發現該主機。
勾選所有條目,再點擊“添加到綁定列表”,所有的綁定條目就設置完成了。
注意 :ARP掃描的功能也可以掃描WAN口的網段,可以通過掃描綁定WAN口網關地址防止前端ARP欺騙(寬帶撥號無需綁定)
3.啟用ARP綁定功能
局域網中電腦的IP與MAC全部綁定完成後,在“安全管理> ARP防護> ARP防護”中,確認已勾選“啟用ARP防欺騙功能”,點擊“保存”。如下圖所示:
注意:如果勾選 禁止非IP-MAC綁定的數據包通過路由器,則不在綁定列表或與綁定列表衝突的電腦不能上網或管理路由器。
至此,路由器防止ARP欺騙設置完成。
4.電腦綁定網關ARP信息
僅在路由器上綁定主機的MAC地址並不能完全解決ARP欺騙的問題,在主機上綁定路由器的MAC地址,即雙向綁定,就可以徹底解決欺騙問題。以下介紹不同操作系統電腦的綁定方法:
Windows XP系統:
在電腦上建立一個文本文件,寫入ARP綁定命令:“arp –s IP MAC”,如下圖所示:
注意:IP是路由器的管理地址(192.168.1.1),MAC是路由器LAN口的MAC地址(01-02-03-04-05-06)。
保存之後將該文件修改為.bat後綴的批處理文件,比如“arp.bat”。然後將其放入系統啟動項中,以後系統每次開機時都會執行該綁定命令。如下圖所示:
Windows 7/ Windows 8/ Windows 10系統:
[1] 打開命令提示符,使用命令:“netsh i i show in”查看網卡idx編號;
[2] 查詢到網卡idx編號後,再使用命令“ netsh –c i i add neighbors idx ip mac”進行ARP綁定,如下圖所示:
注意:Windows 8/ Windows 10系統中以太網為有線網卡。Windows 8系統中Wi-Fi為無線網卡,Windows 10系統中WLAN為無線網卡。
[3] 使用arp –a的命令可以查詢到綁定是否生效,如下圖所示:
設置完成後,電腦重啟,ARP綁定條目也不會失效。
注意:如果需要刪除ARP綁定條目,只需要輸入命令:
netsh –c i i delete neighbors idx(idx表示編號),重啟電腦後,綁定刪除。
至此全部的設置就完成了,後續無需擔心ARP欺騙給網絡帶來的影響。
疑問解答
Q1、設置ARP綁定不生效,怎麼辦?
由於ARP欺騙是雙向的,請確認已經在路由器及電腦上都做好ARP綁定,同時確保內網電腦的IP地址是手動指定的。
Q2、設置ARP綁定後,電腦上不了網怎麼辦?
確保上不了網的電腦ARP信息在路由器綁定列表,如果信息不一致,請修正設置;如果路由器上勾選了“禁止非IP-MAC綁定的數據包通過路由器”,請確保上不了網的電腦已經在路由器上做了綁定。
Q3、僅啟用“ARP防欺騙功能”與“禁止非IP-MAC綁定的數據包通過路由器”有什麼區別?
兩者都是防止ARP欺騙的,區別在於:啟用禁止非IP-MAC綁定的數據包通過路由器,則沒有做綁定或綁定信息與路由器設置的條目不符的電腦,無法上網,也不可以管理路由器。僅設置啟用ARP防欺騙,沒有設置綁定的電腦還是可以上網的
(但電腦參數與綁定條目不符的,同樣無法上網及管理路由器)。注意:實際測試WVR/WAR450L做普通綁定時,MAC地址不變修改IP地址是可以登錄界面也可以上網的。(類似與家用路由器的普通綁定)
Q4、為何開啟綁定後,界面卡死(無法操作)?
設置ARP綁定的時候,建議先添加綁定條目,然後再開啟綁定開關。如果先開啟強制綁定的開關,那麼當列表為空時,會導致管理主機無法管理路由器,表現出來管理頁面卡死的現象。
閱讀更多 IT信息技術隨筆 的文章