eNsp之浅谈arp及应用

今天在学习的过程中,突然发现原来之前作为一个电脑维修员很难解决的问题,学习了arp之后很简单就可以解决了,果然是学无止境,知识真的可以让我们的生活工作更加简单快捷。

之前的文章我们学会了简单的配置交换机。

今天我们学习一下怎么样配置路由器

如下图配置连接一下

eNsp之浅谈arp及应用_第1张图片

 首先我们给我们的pc1,2,3分别配置一下ip地址并启动

ip地址分别是10.1.1.1,10.1.1.2,10.1.2.3,如下图

eNsp之浅谈arp及应用_第2张图片

eNsp之浅谈arp及应用_第3张图片

eNsp之浅谈arp及应用_第4张图片

 我已经迫不及待的想要分享这个知识了,我们现在配置路由器中的端口ip地址

 这里,我们配置完端口1的ip之后,我们输入quit退出到视图界面,继续配置2端口的ip

配置完之后我们查看一下arp列表

eNsp之浅谈arp及应用_第5张图片

 这里就是我们刚才配置的ip

然后我们通过启动所有设备来让我们的pc和路由器之间可以ping通

eNsp之浅谈arp及应用_第6张图片

 

上述ARP协议的工作行为往往被攻击者利用。如果攻击者发送伪造的ARP报文,而且报文里面所通告的IP地址和MAC地址的映射是错误的,则主机或网关会把错误的映射更新到ARP表中。当主机要发送数据到指定的目标IP地址时,从ARP表里得到了不正确的硬件MAC地址,并用之封装数据帧,导致数据帧无法正确发送。由于公司内主机感染了这种ARP病毒,所以主机对网关R1进行ARP攻击,向网关R1通告含错误映射的ARP通告,导致网关路由器上使用不正确的动态ARP映射条目,造成其他主机无法与网关正常通信。

接下来我们使用命令在路由器上静态添加一条关于PC1的错误的ARP映射。(模拟黑客攻击)

 这条命令可以让我们改变ip地址中的mac地址,

我们现在再通过pc ping路由我们发现ping不通了

这是为什么呢?  

因为啊

 因为ARP映射了错误的物理地址,我们来抓一下包,可以看到,当pc1发送ping请求时,回去的包,网关发送到了错误的地方

  应对ARP欺骗攻击,防止其感染路由器的ARP表,可以通过配置静态ARP表项来实现。如果IP地址和一一个MAC地址的静态映射已经出现在ARP表中,则通过动态ARP方式学来的映射则无法进入ARP表。所以针对公司网络的现状,网络管理员在R1上手工配置三条关于PC-1、PC-2和PC-3的正确ARP映射。使用arp static命令,配置如下。

删除错误的:

绑定正确的:

然后我们再测试一下就好了

当然这种方法的优点是操作简单,但是它的缺点是必须使网络中的设备都在ARP表中,工作量太大,那我们该怎么办呢?

静态ARP不行,Proxy ARP便出现了

首先,我们先提出一个问题

我们想通过PC2来ping通PC3,我们现在怎么才可以实现呢?

我们可以自己试着ping一下

果然ping不通

那么我们通过arpproxy命令就可以实现这个操作

我们进入端口输入arp-proxy enable就可以啦  当然路由器的两个端口都要这么操作一下才行

 最后我们可以自己试着ping一下,果然ping通了

你可能感兴趣的:(huawei)