用路由器做地址轉(zhuǎn)換，上網(wǎng)頻繁掉線，此時(shí)將PC機(jī)的網(wǎng)卡禁用一下或?qū)C機(jī)重啟一下又可以上網(wǎng)了，并且不能上網(wǎng)時(shí)ping PC機(jī)的網(wǎng)關(guān)不通。這種情況一般來說,都是中了ARP欺騙病毒，可以通過以下方法進(jìn)行防范。 方法1：在路由器上靜態(tài)綁定PC機(jī)的IP地址和MAC地址，在PC機(jī)上綁定路由器內(nèi)網(wǎng)口的IP地址和MAC地址。 (1) PC機(jī)重啟后，靜態(tài)配置的arp表項(xiàng)會丟失，需要重新配置，可以在PC機(jī)上制作一個(gè).bat的批處理文件，放到啟動(dòng)項(xiàng)中。 (2) arp send-gratuitous-arp并非所有產(chǎn)品均支持，請查詢網(wǎng)站上的配置手冊和命令手冊，確認(rèn)您所使用的產(chǎn)品是否支持該功能。 (3) ARP固化并非所有產(chǎn)品均支持，請確認(rèn)您所使用的產(chǎn)品是否支持該功能。 2. 什么是自然網(wǎng)段ARP，如何理解？自然網(wǎng)段的ARP的命令是在系統(tǒng)視圖下執(zhí)行naturemask-arp enable（默認(rèn)是不使能的）；在學(xué)習(xí)ARP表項(xiàng)時(shí)，若發(fā)現(xiàn)ARP報(bào)文的源IP地址和入接口IP地址不在同一網(wǎng)段后，則使用自然網(wǎng)段進(jìn)行判斷。 假設(shè)Vlan-interface1000接口的IP地址為3.3.3.2/24，收到一個(gè)源IP地址為3.4.4.3的ARP報(bào)文，由于兩個(gè)IP地址不在同一網(wǎng)段，Vlan-interface1000接口無法處理這個(gè)報(bào)文。如果使能支持自然網(wǎng)段的ARP請求功能，則通過自然網(wǎng)段進(jìn)行判斷，由于Vlan-interface1000接口的IP地址為A類地址，因此默認(rèn)掩碼應(yīng)該為8位，于是兩個(gè)IP地址就在同一個(gè)網(wǎng)段，Vlan-interface1000接口就可以學(xué)習(xí)源IP地址為3.4.4.3的ARP表項(xiàng)了。 3. 什么是免費(fèi)ARP，如何理解？免費(fèi)ARP報(bào)文是一種特殊的ARP報(bào)文，該報(bào)文中攜帶的發(fā)送者IP地址和目標(biāo)IP地址都是本機(jī)IP地址，發(fā)送者M(jìn)AC地址是本機(jī)MAC地址，目標(biāo)MAC地址是廣播地址。 (1) 設(shè)備通過對外發(fā)送免費(fèi)ARP報(bào)文，實(shí)現(xiàn)以下功能： l 確定其它設(shè)備的IP地址是否與本機(jī)IP地址沖突。 l 設(shè)備改變了接口MAC 地址，通過發(fā)送免費(fèi)ARP報(bào)文通知其他設(shè)備更新ARP表項(xiàng)。 l 命令行打開gratuitous-arp-sending enable（默認(rèn)此功能關(guān)閉）后，設(shè)備收到非同一網(wǎng)段的ARP請求時(shí)發(fā)送免費(fèi)ARP。 (2) 設(shè)備通過學(xué)習(xí)免費(fèi)ARP報(bào)文，命令行為gratuitous-arp-learning enable（默認(rèn)此功能打開），實(shí)現(xiàn)以下功能：對于收到的免費(fèi)ARP 報(bào)文，如果ARP 表中沒有與此報(bào)文對應(yīng)的ARP表項(xiàng)，就將免費(fèi)ARP報(bào)文中攜帶的信息添加到本地動(dòng)態(tài)ARP映射表中。 4. 什么是ARP 源抑制，如何理解？如果網(wǎng)絡(luò)中有主機(jī)通過向設(shè)備發(fā)送大量目標(biāo)IP地址不能解析的IP報(bào)文來攻擊設(shè)備，則會造成下面的危害： (1) 設(shè)備向目的網(wǎng)段產(chǎn)生大量ARP請求報(bào)文，加重設(shè)備的負(fù)載。 (2) 設(shè)備會不斷解析目標(biāo)IP地址，增加了CPU 的負(fù)擔(dān)。 為避免這種大量目標(biāo)IP不能解析的IP報(bào)文攻擊所帶來的危害，設(shè)備提供了ARP源抑制功能，命令行為arp source-suppression enable（默認(rèn)此功能關(guān)閉），當(dāng)開啟該功能后，如果網(wǎng)絡(luò)中某主機(jī)向設(shè)備某端口連續(xù)發(fā)送目標(biāo)IP地址不能解析的IP報(bào)文，當(dāng)每5秒內(nèi)對該目的IP 解析的ARP 的流量超過設(shè)置的閾值，系統(tǒng)就會丟棄由此端口進(jìn)入的與發(fā)送者IP 地址相同的報(bào)文，直至5秒后再處理，從而避免了惡意攻擊所造成的危害。 5. 什么是ARP黑洞路由，如何理解？所謂ARP黑洞路由，是設(shè)備防IP報(bào)文攻擊一種功能；在進(jìn)行IP報(bào)文轉(zhuǎn)發(fā)過程中，設(shè)備需要依靠ARP解析下一跳IP地址的MAC地址。如果地址解析成功，報(bào)文可以直接通過硬件轉(zhuǎn)發(fā)芯片直接轉(zhuǎn)發(fā)出去，而不需要再由軟件處理；如果地址解析不成功，需要由軟件進(jìn)行解析處理。這樣，如果接收到大量下一跳IP地址循環(huán)變化并且該IP地址不可達(dá)的IP報(bào)文，由于下一跳IP地址解析不成功，平臺會一直發(fā)ARP請求報(bào)文試圖解析不可達(dá)的目的IP，大量的ARP請求導(dǎo)致CPU負(fù)荷過重，就造成了IP報(bào)文對設(shè)備的攻擊。 可以通過配置ARP黑洞路由，即防IP報(bào)文攻擊功能來預(yù)防這種可能存在的攻擊情況，命令行為arp resolving-route enable，在防IP報(bào)文攻擊功能啟用后，一旦接收到下一跳地址不可達(dá)的IP 報(bào)文（即ARP解析失敗的IP報(bào)文），設(shè)備立即產(chǎn)生一個(gè)黑洞路由，黑洞路由表項(xiàng)可以在隱藏模式下通過命令_display arp dummy進(jìn)行查看，使硬件轉(zhuǎn)發(fā)芯片在一段時(shí)間內(nèi)將去往該地址的報(bào)文直接丟棄。等待黑洞路由老化時(shí)間過后，如有報(bào)文觸發(fā)則再次發(fā)起解析，如果解析成功則由硬件進(jìn)行轉(zhuǎn)發(fā)，否則仍然下發(fā)黑洞路由。這種方式能夠有效的防止IP報(bào)文的攻擊，減輕CPU的負(fù)擔(dān)。 6. 什么是代理ARP，如何理解？如果ARP 請求是從一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)往同一網(wǎng)段卻不在同一物理網(wǎng)絡(luò)上的另一臺主機(jī)，那么連接它們的具有代理ARP功能的設(shè)備就可以回答該請求，這個(gè)過程稱作代理ARP（Proxy ARP）。 代理ARP分為代理ARP和本地代理ARP。 同一網(wǎng)段內(nèi)連接到設(shè)備的不同接口的主機(jī)可以利用設(shè)備的代理ARP 功能，命令行為proxy-arp enable（默認(rèn)此功能關(guān)閉），從而通過三層轉(zhuǎn)發(fā)實(shí)現(xiàn)互通。 為了實(shí)現(xiàn)三層互通，在下面三種情況之一需要開啟本地代理ARP 功能，命令行為 local-proxy-arp enable（默認(rèn)此功能關(guān)閉）， (1) 連接到同一個(gè)VLAN 不同二層隔離的端口下的設(shè)備要實(shí)現(xiàn)三層互通； (2) 使能Super VLAN功能后，屬于不同Sub VLAN下的設(shè)備要實(shí)現(xiàn)三層互通； (3) 使能Isolate-user-vlan功能后，屬于不同Second VLAN下的設(shè)備要實(shí)現(xiàn)三層互通。 7. ARP 的老化時(shí)間是如何處理的？ ARP老化時(shí)間的主要作用是：防止arp表項(xiàng)在沒有使用的情況下一直占用資源。設(shè)置老化時(shí)間是為了方便用戶靈活配置，當(dāng)系統(tǒng)學(xué)習(xí)到一個(gè)動(dòng)態(tài)ARP表項(xiàng)時(shí)，它的老化時(shí)間點(diǎn)以當(dāng)前配置的老化時(shí)間計(jì)算，然后進(jìn)行最后一分鐘老化。 老化時(shí)間配置為30分鐘（arp timer aging 30），當(dāng)表項(xiàng)的老化時(shí)間變成18分鐘的時(shí)候，再配置一遍老化時(shí)間為30分鐘，為什么表項(xiàng)中的老化時(shí)間還是18分鐘；而配置老化時(shí)間為其它值（如：配置為100分鐘的時(shí)候），表項(xiàng)中的老化時(shí)間才會進(jìn)行相應(yīng)的變化？ 當(dāng)配置值沒有發(fā)生變化時(shí)，老化時(shí)間不需要處理，所以老化時(shí)間仍然按照原值進(jìn)行老化，當(dāng)新配置與原配置不一致時(shí)，才會對老化時(shí)間進(jìn)行處理；如果新配置的老化時(shí)間大于原配置的老化時(shí)間，則用新配置的老話時(shí)間減去已經(jīng)老化掉的時(shí)間就為應(yīng)該顯示的老化時(shí)間；如果新配置的老化時(shí)間小于原配置的老化時(shí)間，則用新配置的老話時(shí)間減去已經(jīng)老化掉的時(shí)間就為應(yīng)該顯示的老化時(shí)間，但是最低老化時(shí)間不小于1分鐘。