D-Lin k 7 系列路由器 网络安全配置手册 友讯网络 D-Lin k 2012 年 4 月 第 1 页 共 7 页 目 录 1、IP/MAC 绑定 ................................................................................ 2 2、MAC 地址过滤 ............................................................................. 5 第 2 页 共 7 页 1、IP/MAC 绑定 ARP 欺骗问题,根源其实是 TCP/IP 协议设计上的缺陷所致,坦白说并没有一个严格意义上的解决方法,在这方面各厂家都拥有自己的技术,DI-7100 使用的 ARP 防欺骗机制是通过发送广播包来实现的。启用“ARP 保护” 功能后,DI-7100 会持续向局域网内发送 ARP包,通过这种方式不停刷新客户机上 ARP 缓存中的 IP MAC 对应表来达到抑制 ARP 欺骗的目的。除此之外,DI-7000 还提供了两种 ARP欺骗防御机制,一是常见的 IP/MAC 绑定功能,二是 ARP 信任机制。 本功能用于实现内网计算机的 IP 地址与 MAC 地址之间的绑定。路由器的 ARP 映射表如果被更改,整个网络将陷于瘫痪。使用路由器集成的 IP-MAC 扫描工具,一键绑定内网计算机的 IP 和 MAC,可以极大降低因 ARP 欺骗造成的“掉线” 故障。 地址绑定一旦配置完成后,指定的 IP 地址就只能被指定的计算机使用,解决了局域网中 IP 地址被随意改动而导致的 IP 地址冲突。另外也可以通过选中“禁止未绑定 ARP 信息的主机通过” 选项来禁止所有未被绑定的计算机出访互联网。 点击“动态列表” — — >“扫描 MAC” ,可以扫描出内网活动主机的IP/MAC 地址,如下图所示: 第 3 页 共 7 页 DI-7000 的IP/MAC 绑定页面,用户可以“一键”绑定内网中所有IP/MAC 对应关系,使用编辑功能可以为每条记录增加描述信息。如下图: 在这里 DI-7000 提供了一个比较实用的功能,“禁止未绑定IP/MAC的主机通过”,如果启用该功能,未进行 IP/MAC 绑定的主机将无法访问 DI-7000,当然更无法通过 DI-7000 访问 INTERNET。使用这一功能可以非常有效的防止非法用户“蹭网”。 点击“批量绑定”,在此手动添加内网主机的IP/MAC 项,IP 和MAC 之间用一个空格分开。点击“保存”按钮,可以将绑定内容添加到绑定列表。 第 4 页 共 7 页 ARP 信任机制 ARP 信任设置的基本选项如下图: 启用ARP 信任检测功能:启用ARP 信任检测功能,路由器将自动对学习的ARP...