H3C 1-2 防ARP攻击的配置

基于企业网关H3C 1-2 防ARP攻击的配置方法
一，在宾馆或企业的日常网络维护中，经常遇到局域网ARP攻击，其主要现象为ping 路由器网关时断时续，QQ难以登陆或频繁掉线。

二，现介绍两种配置方法杜绝这一现象。
方法一：MAC地址与IP地址双向绑定

即PC侧绑定网关IP地址和MAC地址

路由器侧绑定客户端IP地址和MAC地址

1，用串口登录到路由器后
dis arp

Type: S-Static    D-Dynamic    A-Authorized
IP Address       MAC Address     VLAN ID  Interface              Aging Type
202.X.Y.1     00e0-fcb1-0d5d  N/A      Eth0/0                 20    D
192.168.1.18     00e0-4c2e-9258  1        Eth0/2                 14    D
192.168.1.4      00e0-4c2e-904c  1        Eth0/2                 16    D
192.168.1.21     00e0-4c2e-9044  1        Eth0/2                 18    D
......
......

sys
arp static 192.168.1.18 00e0-4c2e-9258

将192.168.1.18 从ip-pool vlan1 中去掉
dhcp server forbidden-ip 192.168.1.18

2，选取局域网中一台PC
开始-->运行-->arp -a

C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.1.11 --- 0x3
  Internet Address      Physical Address      Type
  192.168.1.1          00-e0-fc-d2-74-59     dynamic

新建文本 输入arp -s 192.168.1.1 00-e0-fc-d2-74-59，另存为ARP.bat
放入启动 菜单中

方法二：
将路由器作为本地认证的PPPOE服务器
1，增加一个PPPoE客户端用于拨号的PPPOE用户winda,示例如下
<Navigator>sys
[Navigator]local-user winda
[Navigator]password simple 123456
[Navigator]service-type ppp
[Navigator]quit
2,创建并配置虚拟模板
[Navigator]interface Virtual-template 1
[Navigator]ppp authentication-mode chap domain system
[Navigator]ppp chap user winda                                                           
[Navigator]remote address pool 1
[Navigator]ip address 10.10.1.1 255.255.255.0   
[Navigator]quit
3,配置PPPoE参数
[Navigator]interface Vlan-interface1
[Navigator]undo ip address 192.168.1.1 255.255.255.0 
[Navigator]undo dhcp server apply
[Navigator]pppoe-server bind virtual-template 1
[Navigator]quit
4,配置域用户使用本地认证方案
[Navigator]domain system
[Navigator]authentication ppp local
5,配置用于为PPPoE客户端分配IP地址的本地IP地址池
[Navigator]domain system
[Navigator]ip pool 1 10.10.1.2 10.10.1.100

三，在多个宾馆和企业中配置了防ARP攻击的方法后，取得了预期的效果，减少了局域网故障，提高了用户满意度。

 

本文出自 “H3C防ARP攻击配置” 博客，谢绝转载！