商务领航2-2 ARP防攻击典型配置

商务领航2-2 ARP防攻击典型配置

一、  组网需求：

某用户局域网中存在ARP攻击，常常导致内网用户无法正常访问外部的网络资源，因此部署了商务领航2-2进行ARP攻击防护。

二、  组网图：

三、  配置步骤：

1. 配置WAN接口GE0/0地址

在左侧导航栏中点击“接口配置 > WAN接口设置”，配置GE0/0，连接模式选择“手动指定IP地址”，IP地址输入“192.168.103.171”，子网掩码为“22”，网关地址为“192.168.100.254”，然后点击< 应用 >按钮完成配置。

在左侧导航栏中点击“接口配置 > 高级设置”，查看当前接口配置结果：

2. 配置ARP防攻击方法

1.发送免费ARP

点击左侧导航栏“高级配置  > ARP防攻击 > 免费ARP定时发送”，选择接口Vlan-interface2，发送时间间隔采用默认值，或者输入合适的时间间隔，然后点击，再点击< 确定 >按钮完成配置。这是让内网所有机器记录内网接口Vlan-interface2的ARP表项。配置发送免费ARP如下图所示。

2. ARP扫描

点击左侧导航栏“高级配置 > ARP防攻击 > 扫描”。选择接口Vlan-interface2，设置扫描的开始和结束IP地址范围，例如下图所示。如果不输入地址，则系统会按照接口地址的掩码范围进行扫描。

3. ARP固化

点击左侧导航栏“高级配置  > ARP防攻击 > 固化”。表中将出现所有商务领航2-2设备上学习到的全部动态和静态ARP，包括ARP扫描获取的。

勾选想要固化的ARP表项，点击，<固化>。或者勾选不想固化的ARP，点击<解除固化>。“全部固化”和“解除全部固化”用来对ARP固化表中的全部ARP表项进行操作。ARP固化如下图所示。

说明：解除固化操作，实际上是删除该ARP静态表项。

四、验证结果

1. 免费ARP验证结果

在内网（192.168.1.0/24）抓取报文，能够每隔2秒钟抓到Vlan-interface2发送的免费ARP报文。免费ARP报文如下图。

2. ARP扫描验证结果

扫描之后，内网所有ARP表项将全部出现在ARP表中，可以查看“高级配置 > ARP管理 > ARP”中所有表项，例如能看到192.168.1.0/24网段的ARP表项，如下图所示。

3. ARP固化验证结果

在“高级配置 > ARP防攻击 > 固化”界面中，勾选ARP表项192.168.1.2、192.168.1.11、192.168.1.78，然后点击< 固化 >，结果如下图所示。说明，ARP固化之后变成静态ARP，静态ARP会列举在ARP表的最前面，所以这三项的表中显示位置可能会发生变化。

4. ARP解除固化验证结果

在“高级配置 > ARP防攻击 > 固化”界面中，勾选ARP表项192.168.1.2、192.168.1.11、192.168.1.78，然后点击< 解除固化 >。将会出现如下提示。点击< 确定 >，则这三项ARP静态表项被删除。表中暂时查看不到这三个ARP表项，除非商务领航2-2设备重新学习到ARP，或者进行了对应接口的ARP扫描。

四、配置关键点及注意事项：

⑴ 配置免费ARP功能后，只有当接口链路Up并且配置IP地址后，此功能才真正生效。

⑵ 如果修改了免费ARP报文的发送周期，则在下一个发送周期才能生效。

⑶ 不要在配置了VRRP备份组的接口下使能免费ARP功能。

⑷ 建议用户在ARP自动扫描期间不要进行其他操作。

⑸ 只有三层以太网接口、三层以太网子接口、VLAN接口学习到的动态ARP表项可以被固化。