路由器故障：靜態(tài)ARP配置不生效

網(wǎng)絡(luò)環(huán)境

如圖所示，NE80/40下接的網(wǎng)絡(luò)中有一臺(tái)PC對(duì)路由器發(fā)起攻擊。我們對(duì)該P(yáng)C的IP地址和MAC地址進(jìn)行ARP靜態(tài)綁定，防止其繼續(xù)對(duì)路由器發(fā)起攻擊。

組網(wǎng)圖

在系統(tǒng)視圖下執(zhí)行命令arp static 192.168.101.2 0018-8b89-d949 vpn-instance YNBTN_CAIWU，配置完成后，發(fā)現(xiàn)路由器仍然遭到來(lái)自PC的ARP攻擊，防攻擊配置實(shí)效。

故障分析

步驟 1     通過(guò)命令display arp查看設(shè)備的ARP表項(xiàng)，如下所示：

<Quidway> display arp  
 
Arp Table:  
 
Total number of arp:3   static:1   dynamic:2  
 
IP Address      MAC Address     VlanID     Type    VPN-Instance     Interface  
 
192.168.101.2   0018-8b89-d949              S         YNBTN_CAIWU  
 
192.168.101.2   0050-8bb3-c8b3   98         D         YNBTN_CAIWU    Eth8/0/1  
 
100.1.1.168     000d-88f8-332c               D                           MEth0 

從顯示信息中可以看到，接口Eth8/0/1學(xué)到的是動(dòng)態(tài)ARP（即IP地址192.168.101.2對(duì)應(yīng)MAC地址0050-8bb3-c8b3對(duì)應(yīng)），用于防攻擊的靜態(tài)ARP配置沒(méi)有生效，失效原因?yàn)榕渲渺o態(tài)ARP時(shí)，沒(méi)有與接口關(guān)聯(lián)，導(dǎo)致ARP表項(xiàng)沒(méi)有更新。

----結(jié)束

處理步驟

在路由器上執(zhí)行以下操作。

步驟 1     配置靜態(tài)ARP時(shí)，將其與接口Eth8/0/1關(guān)聯(lián)。

<Quidway> system-view  
 
[Quidway] arp static 192.168.101.2 0018-8b89-d949 vid 98 interface ethernet 8/0/1 

步驟 2     在設(shè)備上查詢(xún)ARP表項(xiàng)。

<Quidway> display arp  
 
Arp Table:  
 
Total number of arp:2   static:1   dynamic:1  
 
IP Address      MAC Address     VlanID     Type    VPN-Instance     Interface  
 
192.168.101.2   0018-8b89-d949   98         S         YNBTN_CAIWU     Eth8/0/1  
 
100.1.1.168     000d-88f8-332c               D                           MEth0 

查看到ARP表項(xiàng)已經(jīng)更新，防攻擊配置生效。

----結(jié)束

案例總結(jié)

在配置靜態(tài)ARP時(shí)，需要將其與接口進(jìn)行關(guān)聯(lián)，否則配置不生效。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]