eNsp之浅谈arp及应用

今天在学习的过程中，突然发现原来之前作为一个电脑维修员很难解决的问题，学习了arp之后很简单就可以解决了，果然是学无止境，知识真的可以让我们的生活工作更加简单快捷。

之前的文章我们学会了简单的配置交换机。

今天我们学习一下怎么样配置路由器

如下图配置连接一下

 首先我们给我们的pc1，2，3分别配置一下ip地址并启动

ip地址分别是10.1.1.1，10.1.1.2，10.1.2.3，如下图

 我已经迫不及待的想要分享这个知识了，我们现在配置路由器中的端口ip地址

 这里，我们配置完端口1的ip之后，我们输入quit退出到视图界面，继续配置2端口的ip

配置完之后我们查看一下arp列表

 这里就是我们刚才配置的ip

然后我们通过启动所有设备来让我们的pc和路由器之间可以ping通

 

上述ARP协议的工作行为往往被攻击者利用。如果攻击者发送伪造的ARP报文，而且报文里面所通告的IP地址和MAC地址的映射是错误的，则主机或网关会把错误的映射更新到ARP表中。当主机要发送数据到指定的目标IP地址时，从ARP表里得到了不正确的硬件MAC地址，并用之封装数据帧，导致数据帧无法正确发送。由于公司内主机感染了这种ARP病毒，所以主机对网关R1进行ARP攻击，向网关R1通告含错误映射的ARP通告，导致网关路由器上使用不正确的动态ARP映射条目，造成其他主机无法与网关正常通信。

接下来我们使用命令在路由器上静态添加一条关于PC1的错误的ARP映射。（模拟黑客攻击）

 这条命令可以让我们改变ip地址中的mac地址，

我们现在再通过pc ping路由我们发现ping不通了

这是为什么呢？  

因为啊

 因为ARP映射了错误的物理地址，我们来抓一下包，可以看到，当pc1发送ping请求时，回去的包，网关发送到了错误的地方

  应对ARP欺骗攻击，防止其感染路由器的ARP表，可以通过配置静态ARP表项来实现。如果IP地址和一一个MAC地址的静态映射已经出现在ARP表中，则通过动态ARP方式学来的映射则无法进入ARP表。所以针对公司网络的现状，网络管理员在R1上手工配置三条关于PC-1、PC-2和PC-3的正确ARP映射。使用arp static命令,配置如下。

删除错误的：

绑定正确的：

然后我们再测试一下就好了

当然这种方法的优点是操作简单，但是它的缺点是必须使网络中的设备都在ARP表中，工作量太大，那我们该怎么办呢？

静态ARP不行，Proxy ARP便出现了

首先，我们先提出一个问题

我们想通过PC2来ping通PC3，我们现在怎么才可以实现呢？

我们可以自己试着ping一下

果然ping不通

那么我们通过arpproxy命令就可以实现这个操作

我们进入端口输入arp-proxy enable就可以啦  当然路由器的两个端口都要这么操作一下才行

 最后我们可以自己试着ping一下，果然ping通了