内网二层环境,AC 以网桥或路由模式部署,需要进行 ARP 欺骗防护,避免出现 ARP 欺骗后内网无法上网的情况。
第一步:启用防ARP欺骗
【上网安全】-【安全配置】-【防 ARP 欺骗】,勾选【启用 ARP 欺骗防护】,点击【提交】即可。
保持默认配置时,设备每10秒自动广播一次自己的MAC地址,用于更新内网PC的ARP表。如有必要也可以将【设定网关MAC广播间隔时间】修改为合适的时间,例如5秒。
第二步:启用静态ARP绑定
当防护效果不佳时,可以启用静态ARP绑定功能,将设备MAC地址静态绑定到电脑上。【上网安全】-【安全配置】-【防ARP欺骗】,勾选【启用静态ARP】,并将需要电脑ARP表绑定的IP和MAC地址填入[静态ARP列表],点击【提交】即可。
[静态ARP列表]填写及使用说明:
1、如果电脑网关是AC设备,则无需将AC设备IP和MAC填入静态ARP列表中。
2、如果电脑网关不是AC设备,则需要将网关设备的IP和MAC填入静态ARP列表中。
3、该项功能需要与准入策略配合使用才能实现绑定,如不能启用准入策略,则请关闭该功能。
第三步:配置准入策略
配合ARP欺骗防护使用的准入策略可以是IM聊天内容监控,或者任意一种自定义的准入规则,无需使用特定的准入规则,配置步骤如下:
【策略管理】-【上网策略】-【新增】-【准入策略】,填写[策略名称],勾选[准入策略],点击[添加],选择[IM聊天内容监控],其他保持默认,[适用对象]选择内网用户,点击【提交】即
可。
如果不希望监控QQ聊天内容,也可以自定义其他准入规则后关联给用户生效。准入功能参考《最佳实践-准入策略部分》。
1、启用 ARP 欺骗防护后,在内网 PC 上抓包,可以看到设备定时会广播一次自己的 IP和 MAC 地址。测试时,为了便于抓包,设置的广播时间为 5 秒。
启用静态 ARP 和准入策略后,PC 上网打开网页时会弹出准入安装页面,需要正常安装准入并允许其运行后才能上网。
准入策略生效后,在 PC 的 cmd 工具中执行 arp -a,可以看到 PC 静态绑定了 AC 设备的 IP 和 MAC 地址,如果设置了其他地址的 ARP 静态绑定也可以看到,同时系统进程中会有 arpguard.exe 的进程。
1、Windows7的系统因为默认不支持arp -s的功能,所以无法实现静态ARP绑定功能。
2、AC的防ARP欺骗原理是:
①定期广播设备的MAC地址,同时设备不接受不请自来的ARP更新请求,且设备不接受请求一次应答多次的ARP更新请求。
②启用静态ARP绑定的情况下,在内网电脑上静态绑定网关设备的IP和MAC地址,保证其网关MAC不被欺骗。如果ARP绑定了其他地址,也是相同原理。
3、因为ARP攻击产生了大量的广播风暴导致交换机性能不足时,AC无法进行防御。
建议使用Chrome浏览器访问!
