ARP（Address Resolution Protocol，地址解析協(xié)議）用于將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層的物理地址。網(wǎng)絡(luò)上的一臺(tái)主機(jī)把以太網(wǎng)數(shù)據(jù)幀發(fā)送到位于同一局域網(wǎng)上的另一臺(tái)主機(jī)時(shí)，是根據(jù)主機(jī)的數(shù)據(jù)鏈路層地址（包括MAC地址）進(jìn)行轉(zhuǎn)發(fā)的，設(shè)備驅(qū)動(dòng)程序從不檢查IP數(shù)據(jù)報(bào)中的目的IP地址，所以這就需要將IP地址解析為數(shù)據(jù)鏈路層地址。

ARP欺騙

按照ARP協(xié)議的設(shè)計(jì)，一個(gè)主機(jī)也會(huì)接收不是自己主動(dòng)請(qǐng)求的ARP應(yīng)答，并將應(yīng)答中的IP地址和物理地址添加到ARP表中，這樣設(shè)計(jì)是為了減少網(wǎng)絡(luò)上過多的ARP通信量，但同時(shí)也為“ARP欺騙”創(chuàng)造了條件。

ARP欺騙的方式有多種，中間人攻擊、網(wǎng)關(guān)欺騙、主機(jī)欺騙等等。一般來說，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會(huì)造成大面積頻繁掉線，嚴(yán)重的會(huì)威脅到網(wǎng)絡(luò)安全，如網(wǎng)游、網(wǎng)銀的帳號(hào)被盜等安全問題。

ARP防護(hù)

傳統(tǒng)的ARP防護(hù)措施是在寬帶路由器和計(jì)算機(jī)上進(jìn)行雙向綁定，但是仍然存在兩個(gè)不足：

1、每臺(tái)計(jì)算機(jī)上均需要添加批處理文件，對(duì)于大中型的網(wǎng)吧、校園網(wǎng)等來說，工作量太大；

2、傳統(tǒng)的雙向綁定只保證上互聯(lián)網(wǎng)不受欺騙，但是內(nèi)網(wǎng)的計(jì)算機(jī)與計(jì)算機(jī)之間的安全沒有保障；

綜合以上兩個(gè)不足及ARP攻擊的特點(diǎn)，TL-SG2224E/2224P交換機(jī)給出了有效的防ARP攻擊解決方案。通過對(duì)交換機(jī)每個(gè)端口進(jìn)行分析，杜絕ARP欺騙報(bào)文從任何一個(gè)端口轉(zhuǎn)發(fā)，同時(shí)保證了內(nèi)部和外部網(wǎng)絡(luò)安全。

TL-SG2224E/SG2224P網(wǎng)吧ARP防護(hù)解決方案

圖中以TL-SG2224E作為主交換機(jī)，TL-SG2224P作為接入交換機(jī)，這兩款交換機(jī)都有ARP防護(hù)功能，下面主要介紹ARP防護(hù)配置步驟，并以A、B交換機(jī)為例，進(jìn)行ARP防護(hù)相關(guān)設(shè)置舉例，C、D交換機(jī)的設(shè)置與B類似。

ARP防護(hù)設(shè)置

步驟一：確認(rèn)網(wǎng)絡(luò)中的特殊端口

特殊端口是針對(duì)交換機(jī)而言的，交換機(jī)對(duì)特殊端口的ARP報(bào)文直接轉(zhuǎn)發(fā)。特殊端口判定標(biāo)準(zhǔn)：

1、與路由器級(jí)聯(lián)的端口，如圖中A交換機(jī)的4端口；

2、與其他具有ARP防護(hù)功能設(shè)備級(jí)聯(lián)的端口，如圖中A交換機(jī)的端口1、2、3；

因此，上圖中A交換機(jī)的1、2、3、4端口為特殊端口，B、C、D交換機(jī)的1端口為特殊端口。

步驟二：添加主機(jī)的IP、MAC和交換機(jī)端口的對(duì)應(yīng)關(guān)系，添加方式有手動(dòng)和動(dòng)態(tài)掃描兩種方式

步驟三：全局配置

ARP攻擊防護(hù)功能由“禁用”改為“啟用”，勾選“特殊端口”，最后“提交”。

根據(jù)三步驟，A交換機(jī)配置如下：

1、確認(rèn)特殊端口：A交換機(jī)的1、2、3、4端口為特殊端口。

2、設(shè)置主機(jī)綁定：這里以手動(dòng)方式添加計(jì)費(fèi)、游戲、音樂服務(wù)器的MAC、IP地址到5、6、7端口：

3、全局配置：

根據(jù)三步驟，B交換機(jī)設(shè)置如下：

1、確認(rèn)特殊端口：B交換機(jī)的1端口為特殊端口。

2、設(shè)置主機(jī)綁定：這里以動(dòng)態(tài)掃描方式設(shè)定B交換機(jī)下電腦MAC、IP地址和端口的對(duì)應(yīng)關(guān)系。

在“主機(jī)綁定”頁面選擇“主機(jī)掃描”，根據(jù)實(shí)際情況填寫B(tài)交換機(jī)下電腦的起止IP地址，除特殊端口外其他端口均為需要掃描的端口，如下圖，點(diǎn)擊“掃描”，得到掃描結(jié)果后，選擇“全選”并“綁訂選中項(xiàng)”：

3、全局配置：

至此，A、B交換機(jī)ARP防護(hù)設(shè)置完成。

補(bǔ)充說明：

1、一定要將所有電腦都主機(jī)綁定后，方可開啟ARP攻擊防護(hù)功能，否則未綁定的電腦無法上網(wǎng)。

2、若路由器級(jí)聯(lián)了其他不具有ARP防護(hù)功能的設(shè)備時(shí)，A交換機(jī)的4端口為非特殊端口。

3、若主機(jī)掃描出現(xiàn)類似以下情況，即掃描到相同的MAC地址對(duì)應(yīng)不同的IP地址時(shí)，交換機(jī)會(huì)以紅色凸顯，選定時(shí)請(qǐng)手動(dòng)選擇正確的MAC和IP地址對(duì)應(yīng)關(guān)系。

4、非法ARP報(bào)文統(tǒng)計(jì)，此功能是統(tǒng)計(jì)非特殊端口收到的非法ARP報(bào)文，如下圖，當(dāng)非法ARP報(bào)文攻擊速率達(dá)到100pps時(shí)，交換機(jī)會(huì)以紅色凸顯警告。