靜態(tài)ARP簡介

靜態(tài)ARP表項是指網(wǎng)絡管理員手工建立IP地址和MAC地址之間固定的映射關(guān)系。

正常情況下網(wǎng)絡中設備可以通過ARP協(xié)議進行ARP表項的動態(tài)學習，生成的動態(tài)ARP表項可以被老化，可以被更新。但是當網(wǎng)絡中存在ARP攻擊時，設備中動態(tài)ARP表項可能會被更新成錯誤的ARP表項，或者被老化，造成合法用戶通信異常。靜態(tài)ARP表項不會被老化，也不會被動態(tài)ARP表項覆蓋，可以保證網(wǎng)絡通信的安全性。靜態(tài)ARP表項可以限制本端設備和指定IP地址的對端設備通信時只使用指定的MAC地址，此時攻擊報文無法修改本端設備的ARP表中IP地址和MAC地址的映射關(guān)系，從而保護了本端設備和對端設備間的正常通信。一般在網(wǎng)關(guān)設備上配置靜態(tài)ARP表項。

對于以下場景，用戶可以配置靜態(tài)ARP表項。

• 對于網(wǎng)絡中的重要設備，如服務器等，可以在交換機上配置靜態(tài)ARP表項。這樣可以避免交換機上重要設備IP地址對應的ARP表項被ARP攻擊報文錯誤更新，從而保證用戶與重要設備之間正常通信。

• 當網(wǎng)絡中用戶設備的MAC地址為組播MAC地址時，可以在交換機上配置靜態(tài)ARP表項。缺省情況下，設備收到源MAC地址為組播MAC地址的ARP報文時不會進行ARP學習。

• 當希望禁止某個IP地址訪問設備時，可以在交換機上配置靜態(tài)ARP表項，將該IP地址與一個不存在的MAC地址進行綁定。

配置注意事項

• 設備上配置的靜態(tài)ARP表項數(shù)目不能大于設備靜態(tài)ARP表項規(guī)格，可以執(zhí)行命令display arp statistics all查看設備上已有的ARP表項數(shù)目。

• 本舉例適用于S系列交換機所有產(chǎn)品的所有版本。

  
  

組網(wǎng)需求

如圖7-1所示，企業(yè)通過Switch實現(xiàn)各個部門之間的互連，且各個部門加入不同的VLAN。總裁辦公室和文件備份服務器采取手工方式分配已經(jīng)獲取到固定IP地址，市場部和研發(fā)部主機通過DHCP方式已經(jīng)獲取到動態(tài)IP地址。由于市場部擁有訪問外網(wǎng)的權(quán)利，主機經(jīng)常會感染ARP病毒，攻擊Switch并修改Switch上的動態(tài)ARP表項，造成總裁辦公室與外界的通信中斷以及各個部門不能正常訪問文件備份服務器。公司希望在Switch上配置靜態(tài)ARP表項，以保證總裁辦公室與外界的通信安全，并保證各個部門能正常訪問文件備份服務器。

圖7-1?配置靜態(tài)ARP組網(wǎng)圖

配置思路

靜態(tài)ARP的配置思路如下：

1. 在Switch上為總裁辦公室主機配置靜態(tài)ARP表項，防止總裁辦公室主機的ARP表項被ARP攻擊報文修改，造成總裁辦公室與外界的通信中斷。

2. 在Switch上為文件備份服務器配置靜態(tài)ARP表項，防止文件備份服務器的ARP表項被ARP攻擊報文修改，造成各個部門不能正常訪問文件備份服務器。

操作步驟

1. 在Switch上創(chuàng)建VLAN，并配置各接口的IP地址

   
   

   # 創(chuàng)建VLAN10，將接口加入VLAN10，并配置接口VLANIF10的IP地址。

   <Quidway> system-view
   [Quidway] sysname Switch
   [Switch] vlan batch 10
   [Switch] interface gigabitethernet 1/0/1
   [Switch-GigabitEthernet1/0/1] port link-type access
   [Switch-GigabitEthernet1/0/1] port default vlan 10
   [Switch-GigabitEthernet1/0/1] quit
   [Switch] interface vlanif 10
   [Switch-Vlanif10] ip address 10.164.1.20 24
   [Switch-Vlanif10] quit

   # 配置接口GE1/0/2為主接口，并配置接口的IP地址。

   [Switch] interface gigabitethernet 1/0/2
   [Switch-GigabitEthernet1/0/2] undo portswitch
   [Switch-GigabitEthernet1/0/2] ip address 10.164.10.10 24
   [Switch-GigabitEthernet1/0/2] quit

   # 配置接口GE1/0/3為主接口，并配置接口的IP地址。

   [Switch] interface gigabitethernet 1/0/3
   [Switch-GigabitEthernet1/0/3] undo portswitch
   [Switch-GigabitEthernet1/0/3] ip address 10.164.20.1 24
   [Switch-GigabitEthernet1/0/3] quit ?

   
   

如果設備不支持通過undo portswitch命令將接口轉(zhuǎn)換為主接口后配置IP地址，可以通過配置VLANIF接口后配置IP地址。

2.在Switch上配置靜態(tài)ARP表項

[Switch] arp static 10.164.1.1 00e0-fc01-0001 vid 10 interfacegigabitethernet 1/0/1 //為總裁辦公室主機配置靜態(tài)ARP表項
[Switch] arp static 10.164.10.1 00e0-fc02-1234 interfacegigabitethernet 1/0/2 //為文件備份服務器配置靜態(tài)ARP表項3.

3.驗證配置結(jié)果

# 執(zhí)行命令display arp static，查看已配置的靜態(tài)ARP表項。

[Switch] display arp static
IP ADDRESS ? ? ?MAC ADDRESS ? ? EXPIRE(M) TYPE ? ? ? ?INTERFACE ? VPN-INSTANCE
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?VLAN/CEVLAN ? ? ? ? ? ? ? ? ? ? ? ?
------------------------------------------------------------------------------
10.164.1.1 ? ? ?00e0-fc01-0001 ? ? ? ? ? ?S-- ? ? ? ? GE1/0/1
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?10/-
10.164.10.1 ? ? 00e0-fc02-1234 ? ? ? ? ? ?S-- ? ? ? ? GE1/0/2
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?40/-
------------------------------------------------------------------------------
Total:2 ? ? ? ? Dynamic:0 ? ? ? Static:2 ? ? Interface:0

# 在總裁辦公室的主機（IP地址為10.164.1.1/24，操作系統(tǒng)以Windows 7為例）上

Ping路由器上與Switch相連的接口IP地址10.164.20.2/24，可以Ping通。

C:\Documents and Settings\Administrator> ping 10.164.20.2
Pinging 10.164.20.2 with 32 bytes of data:
Reply from 10.164.20.2: bytes=32 time=1ms TTL=128
Reply from 10.164.20.2: bytes=32 time=1ms TTL=128
Reply from 10.164.20.2: bytes=32 time=1ms TTL=128
Reply from 10.164.20.2: bytes=32 time=1ms TTL=128

Ping statistics for 10.164.20.2:
? ?Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
? ?Minimum = 1ms, Maximum = 1ms, Average = 1ms

# 在市場部的某主機（IP地址為10.164.2.100/24，操作系統(tǒng)以Windows 7為例）上Ping

文件備份服務器的IP地址10.164.10.1/24，可以Ping通。

C:\Documents and Settings\Administrator> ping 10.164.10.1
Pinging 10.164.10.1 with 32 bytes of data:
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125

Ping statistics for 10.164.10.1:
? ?Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
? ?Minimum = 1ms, Maximum = 1ms, Average = 1ms

# 在研發(fā)部的某主機（IP地址為10.164.3.100/24，操作系統(tǒng)以Windows 7為例）上Ping

文件備份服務器的IP地址10.164.10.1/24，可以Ping通。

C:\Documents and Settings\Administrator> ping 10.164.10.1
Pinging 10.164.10.1 with 32 bytes of data:
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125
Reply from 10.164.10.1: bytes=32 time=1ms TTL=125

Ping statistics for 10.164.10.1:
? ?Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
? ?Minimum = 1ms, Maximum = 1ms, Average = 1ms

配置文件

Switch的配置文件。

#
sysname Switch
#
vlan batch 10
#
interface Vlanif10
ip address 10.164.1.20 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
undo portswitch
ip address 10.164.10.10 255.255.255.0
#
interface GigabitEthernet1/0/3
undo portswitch
ip address 10.164.20.1 255.255.255.0
#
arp static 10.164.1.1 00e0-fc01-0001 vid 10 interface GigabitEthernet1/0/1
arp static 10.164.10.1 00e0-fc02-1234 interface GigabitEthernet1/0/2
#
return