企業級路由器ARP欺騙防護功能的設置

　　從影響網絡連接通暢的方式來看，ARP欺騙有兩種攻擊可能，一種是對路由器ARP表的欺騙;另一種是對內網電腦ARP表的欺騙，當然也可能兩種攻擊同時進行。學習啦小編為大家整理了企業級路由器ARP欺騙防護功能的設置，供大家參考閱讀!

　　企業級路由器ARP欺騙防護功能的設置

　　一、設置前準備

　　當使用了防止ARP欺騙功能(IP和MAC綁定功能)后，最好是不要使用動態IP，因為電腦可能獲取到和IP與MAC綁定條目不同的IP，這時候可能會無法上網，通過下面的步驟來避免這一情況發生吧。

　　1)把路由器的DHCP功能關閉：打開路由器管理界面，“DHCP服務器”->“DHCP服務”，把狀態由默認的“啟用”更改為“不啟用”，保存并重啟路由器。

　　2)給電腦手工指定IP地址、網關、DNS服務器地址，如果您不是很清楚當地的DNS地址，可以咨詢您的網絡服務商。

　　二、設置路由器防止ARP欺騙

　　打開路由器的管理界面，在左側的菜單中可以看到：

　　“IP與MAC綁定”的功能，這個功能除了可以實現IP和MAC綁定外，還可以實現防止ARP欺騙功能。

　　打開“靜態ARP綁定設置”窗口如下：

　　注意，默認情況下ARP綁定功能是關閉，請選中啟用后，點擊保存來啟用。

　　在添加IP與MAC地址綁定的時候，可以手工進行條目的添加，也可以通過“ARP映射表”查看IP與MAC地址的對應關系，通過導入后，進行綁定。

　　1、手工進行添加，單擊“增加單個條目”。

　　填入電腦的MAC地址與對應的IP地址，然后保存，就實現了IP與MAC地址綁定。

　　2、通過“ARP映射表”，導入條目，進行綁定。

　　打開“ARP映射表”窗口如下：

　　這是路由器動態學習到的ARP表，可以看到狀態這一欄顯示為“未綁定”。如果確認這一個動態學習的表沒有錯誤，也就是說當時不存在arp欺騙的情況下，把條目導入，并且保存為靜態表，這樣路由器重啟后這些條目都會存在，實現綁定的效果。

　　若存在許多計算機，可以點擊“全部導入”，自動導入所有計算機的IP與MAC信息。

　　導入成功以后，即已完成IP與MAC綁定的設置。如下：

　　可以看到狀態中已經為已綁定，這時候，路由器已經具備了防止ARP欺騙的功能，上面的示范中只有一個條目，如果您的電腦多，操作過程也是類似的。有些條目如果沒有添加，也可以下次補充上去。除了這種利用動態學習到的ARP表來導入外，也可以使用手工添加的方式，只要知道電腦的MAC地址，手工添加相應條目就可。

　　在“ARP映射表”中可以看到，此計算機的IP地址與MAC地址已經綁定，在路由器重啟以后，該條目仍然生效

　　三、設置電腦防止ARP欺騙

　　路由器已經設置了防止ARP欺騙功能，接下來我們就來設置電腦的防止ARP欺騙了。微軟的操作系統中都帶有ARP這一命令行程序，我們可以在windows的命令行界面來進行配置。

　　Windows XP系統的設置方法：

　　點擊“開始”，選擇“運行”，輸入“cmd”，打開windows的命令行提示符如下：

　　通過“arp –s 路由器IP+路由器MAC”這一條命令來實現對路由器的ARP條目的靜態綁定，如：arp –s 192.168.1.1 00-0a-eb-d5-60-80;可以看到在arp -a 命令的輸出中，已經有了我們剛才添加的條目，Type類型為static表示是靜態添加的。至此，我們也已經設置了電腦的靜態ARP條目，這樣電腦發送到路由器的數據包就不會發送到錯誤的地方去了。

　　怎么知道路由器的MAC地址是多少呢?可以打開路由器的管理界面，進入“網絡參數”->“LAN口設置”：

　　LAN口的MAC地址就是電腦的網關的MAC地址。

　　細心的人可能已經發現了，如果使用上面的方法，電腦每次在重啟后都需要輸入上面的命令來實現防止ARP欺騙，有沒有更簡單的方法自動來完成，不用手工輸入呢?有!

　　我們可以新建一個批處理文件如static_arp.bat，注意后綴名為bat。編輯它，在里面加入我們剛才的命令：

　　保存就可以了，以后可以通過雙擊它來執行這條命令，還可以把它放置到系統的啟動目錄下來實現啟動時自己執行。打開電腦“開始”->“程序”，雙擊“啟動”打開啟動的文件夾目錄，把剛才建立的static_arp.bat復制到里面去：

　　好了，以后電腦每次啟動時就會自己執行arp –s命令了，在以后使用網絡的時候，不再受到ARP攻擊的干擾。