如何进行IP和MAC地址绑定，以防范ARP欺骗？

用路由器做地址转换，上网频繁掉线，此时将PC机的网卡禁用一下或将PC机重启一下又可以上网了，并且不能上网时ping PC机的网关不通。这种情况一般来说,都是中了ARP欺骗病毒，可以通过以下方法进行防范。 方法1：在路由器上静态绑定PC机的IP地址和MAC地址，在PC机上绑定路由器内网口的IP地址和MAC地址。 (1) PC机重启后，静态配置的arp表项会丢失，需要重新配置，可以在PC机上制作一个.bat的批处理文件，放到启动项中。 (2) arp send-gratuitous-arp并非所有产品均支持，请查询网站上的配置手册和命令手册，确认您所使用的产品是否支持该功能。 (3) ARP固化并非所有产品均支持，请确认您所使用的产品是否支持该功能。 2. 什么是自然网段ARP，如何理解？自然网段的ARP的命令是在系统视图下执行naturemask-arp enable（默认是不使能的）；在学习ARP表项时，若发现ARP报文的源IP地址和入接口IP地址不在同一网段后，则使用自然网段进行判断。 假设Vlan-interface1000接口的IP地址为3.3.3.2/24，收到一个源IP地址为3.4.4.3的ARP报文，由于两个IP地址不在同一网段，Vlan-interface1000接口无法处理这个报文。如果使能支持自然网段的ARP请求功能，则通过自然网段进行判断，由于Vlan-interface1000接口的IP地址为A类地址，因此默认掩码应该为8位，于是两个IP地址就在同一个网段，Vlan-interface1000接口就可以学习源IP地址为3.4.4.3的ARP表项了。 3. 什么是免费ARP，如何理解？免费ARP报文是一种特殊的ARP报文，该报文中携带的发送者IP地址和目标IP地址都是本机IP地址，发送者MAC地址是本机MAC地址，目标MAC地址是广播地址。 (1) 设备通过对外发送免费ARP报文，实现以下功能： l 确定其它设备的IP地址是否与本机IP地址冲突。 l 设备改变了接口MAC 地址，通过发送免费ARP报文通知其他设备更新ARP表项。 l 命令行打开gratuitous-arp-sending enable（默认此功能关闭）后，设备收到非同一网段的ARP请求时发送免费ARP。 (2) 设备通过学习免费ARP报文，命令行为gratuitous-arp-learning enable（默认此功能打开），实现以下功能：对于收到的免费ARP 报文，如果ARP 表中没有与此报文对应的ARP表项，就将免费ARP报文中携带的信息添加到本地动态ARP映射表中。 4. 什么是ARP 源抑制，如何理解？如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备，则会造成下面的危害： (1) 设备向目的网段产生大量ARP请求报文，加重设备的负载。 (2) 设备会不断解析目标IP地址，增加了CPU 的负担。 为避免这种大量目标IP不能解析的IP报文攻击所带来的危害，设备提供了ARP源抑制功能，命令行为arp source-suppression enable（默认此功能关闭），当开启该功能后，如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文，当每5秒内对该目的IP 解析的ARP 的流量超过设置的阈值，系统就会丢弃由此端口进入的与发送者IP 地址相同的报文，直至5秒后再处理，从而避免了恶意攻击所造成的危害。 5. 什么是ARP黑洞路由，如何理解？所谓ARP黑洞路由，是设备防IP报文攻击一种功能；在进行IP报文转发过程中，设备需要依靠ARP解析下一跳IP地址的MAC地址。如果地址解析成功，报文可以直接通过硬件转发芯片直接转发出去，而不需要再由软件处理；如果地址解析不成功，需要由软件进行解析处理。这样，如果接收到大量下一跳IP地址循环变化并且该IP地址不可达的IP报文，由于下一跳IP地址解析不成功，平台会一直发ARP请求报文试图解析不可达的目的IP，大量的ARP请求导致CPU负荷过重，就造成了IP报文对设备的攻击。 可以通过配置ARP黑洞路由，即防IP报文攻击功能来预防这种可能存在的攻击情况，命令行为arp resolving-route enable，在防IP报文攻击功能启用后，一旦接收到下一跳地址不可达的IP 报文（即ARP解析失败的IP报文），设备立即产生一个黑洞路由，黑洞路由表项可以在隐藏模式下通过命令_display arp dummy进行查看，使硬件转发芯片在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后，如有报文触发则再次发起解析，如果解析成功则由硬件进行转发，否则仍然下发黑洞路由。这种方式能够有效的防止IP报文的攻击，减轻CPU的负担。 6. 什么是代理ARP，如何理解？如果ARP 请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机，那么连接它们的具有代理ARP功能的设备就可以回答该请求，这个过程称作代理ARP（Proxy ARP）。 代理ARP分为代理ARP和本地代理ARP。 同一网段内连接到设备的不同接口的主机可以利用设备的代理ARP 功能，命令行为proxy-arp enable（默认此功能关闭），从而通过三层转发实现互通。 为了实现三层互通，在下面三种情况之一需要开启本地代理ARP 功能，命令行为 local-proxy-arp enable（默认此功能关闭）， (1) 连接到同一个VLAN 不同二层隔离的端口下的设备要实现三层互通； (2) 使能Super VLAN功能后，属于不同Sub VLAN下的设备要实现三层互通； (3) 使能Isolate-user-vlan功能后，属于不同Second VLAN下的设备要实现三层互通。 7. ARP 的老化时间是如何处理的？ ARP老化时间的主要作用是：防止arp表项在没有使用的情况下一直占用资源。设置老化时间是为了方便用户灵活配置，当系统学习到一个动态ARP表项时，它的老化时间点以当前配置的老化时间计算，然后进行最后一分钟老化。 老化时间配置为30分钟（arp timer aging 30），当表项的老化时间变成18分钟的时候，再配置一遍老化时间为30分钟，为什么表项中的老化时间还是18分钟；而配置老化时间为其它值（如：配置为100分钟的时候），表项中的老化时间才会进行相应的变化？ 当配置值没有发生变化时，老化时间不需要处理，所以老化时间仍然按照原值进行老化，当新配置与原配置不一致时，才会对老化时间进行处理；如果新配置的老化时间大于原配置的老化时间，则用新配置的老话时间减去已经老化掉的时间就为应该显示的老化时间；如果新配置的老化时间小于原配置的老化时间，则用新配置的老话时间减去已经老化掉的时间就为应该显示的老化时间，但是最低老化时间不小于1分钟。