Question

H3C交换机或者路由器如何绑定网关MAC地址.

我们单位是局域网连接的外网。
由于长期受ARP攻击影响，网络总是断，我想请问，如果在交换机或者路由上做网关MAC地址IP绑定，避免受ARP攻击。我们的是H3C，谢谢。

Answer 1

交换机举例： 将Host 1的MAC地址和IP地址绑定到Ethernet1/0/1端口。
[H3C-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 192.168.1.1
路由器举例：arp static 192.168.1.2 001a-2abf-ccdd

Answer 2

#进入端口配置
interface GigabitEthernet 1/0/1
#绑定该端口的mac和IP
user-bind mac-addr 001a-4d1e-3981 ip-addr 10.100.11.2
不过说实话，交换机做ip-mac绑定不管是配置还是维护都过于复杂。一般推荐在行为管理设备上进行绑定，我们公司用的是"WSG行为管理网关“，用来做ip-mac绑定非常方便，而且可以跨三层交换机进行绑定。

Answer 3

你说的的局域网上的arp欺骗吧？在网关设备（三层交换机或路由器）上是绑定用户的ip与mac，防止有电脑冒充另一台电脑；同时在用户电脑上用arp 命令绑定网关IP与mac，防止有电脑冒充网关。

追问

因为连局域网的电脑太多，将近200多个，而且电脑更换也频繁，而且下面还接了很多子路由，没有办法做用户IP和MAC绑定，我就是想知道网管与网管物理地址能否实现绑定。

追答

你要绑定就是我所说的法子。有条件你也可以将网络分成几个子网，即使有arp欺骗也只是影响那个子网。

Answer 4

H3C可以做端口隔离
port isolate

追问

端口隔离的话那局域网内的用户不能相互访问的吧，他们还要求玩局域网游戏。

追答

你这个网管很不称职。。。单位网都这样了，还不采取必要措施？游戏重要还是工作重要，他们爽了，你自己被人说，有时候不要太碍于面子，工作就是工作。
我看了下你上面还有下挂路由，这就不太好绑了。手动绑定是可以的，条件是不能随意接入其他PC。一个端口可以绑定多个MAC，mac-address max-mac-count 10。

但不建议这样。有效的方法是对整个网络划分更多VLAN。ARP的攻击只限于广播域中，通过划分更多的VLAN，可以划分更多的广播域。这样故障点就被限制在广播域中，其他广播域不会受到影响。攻击范围会大大减轻，故障排除也会简单很多。ARP病毒机器最好还是重装。

Answer 5

建议在局域网内的终端上安装ARP 防火墙 推荐金山、360、arp攻击在路由器上防范效果不好。

追问

这个我还专门给每一个用户都下了通知要求打开ARP防护功能，可是有的真的是什么都不懂，就使劲打电话让我去弄，200多机子，老大，会把握累死的，而且时不时还换个机子或者重装一下，我还的去啊

追答

很简单呀/就是你在内网里面加一个FTP下载的服务器,然后给每个人都发一个邮件,告诉他们一步一步怎么按照就可以 最好用赛门铁克的 杀毒软件 他里面默认块开启 这中防火墙