利用ARP保护规避伪网关

一、组网

二、问题描述

因网络涉及信息较敏感，局方规划所有接入终端使用手工分配地址。但在网络使用过程中突然发现同一楼层接入交换机下面所有终端都无法访问服务器，而其它楼层终端设备正常访问，经测试所有终端可以ping通网关。

三、  过程分析

在核心交换机上开启log日志信息，发现设备不停的弹出报错信息，如下：

%Dec 19 17:49:16:734 2015 SW6 ARP/5/ARP_DUPIFIP: Duplicate address 1.1.1.1 on interface Vlan-interface1, sourced from 000f-e200-0301.

在设备上查看本地配置的地址：

[Switch]display ip interface brief

*down: administratively down

(s): spoofing

Interface                     Physical Protocol IP Address      Description

GigabitEthernet1/0/1          down     down     unassigned      GigabitEt...

GigabitEthernet1/0/2          down     down     unassigned      GigabitEt...

GigabitEthernet1/0/3          down     down     unassigned      GigabitEt...

Vlan-interface1               up       up        1.1.1.1          Vlan-inte...

且询问局点网管该地址为终端用户的网关，推测发生问题的楼层接入交换机互联的终端可能存在伪网关。

四、确认故障，解决问题

使用ping扫描工具进行ping扫描，经与原有地址表对比发现学习不到其中一台终端的地址，尝试重新ping该地址发现还是无法ping通。找到那台终端查看该地址发现其地址错写成网关地址，修改后该网络业务正常。于是在楼层接入交换机开启ARP网关保护功能后有效的避免该问题的发生。

五、 解决方法

# 在Switch B上配置ARP网关保护功能。

<SwitchB> system-view

[SwitchB] interface GigabitEthernet1/0/2

[SwitchB-FortyGigE1/0/1] arp filter source 1.1.1.1

[SwitchB-FortyGigE1/0/1] quit

[SwitchB] interface GigabitEthernet1/0/3

[SwitchB-FortyGigE1/0/2] arp filter source 1.1.1.1

完成上述配置后，对于Host A发送的伪造的源IP地址为网关IP地址的ARP报文将会被丢弃，不会再被转发。

2016年06月