DLink7系列路由器网络安全配置手册

D-Lin k 7 系列路由器 网络安全配置手册 友讯网络 D-Lin k 2012 年 4 月 第 1 页 共 7 页 目 录 1、IP/MAC 绑定 ................................................................................ 2 2、MAC 地址过滤 ............................................................................. 5 第 2 页 共 7 页 1、IP/MAC 绑定 ARP 欺骗问题，根源其实是 TCP/IP 协议设计上的缺陷所致，坦白说并没有一个严格意义上的解决方法，在这方面各厂家都拥有自己的技术，DI-7100 使用的 ARP 防欺骗机制是通过发送广播包来实现的。启用“ARP 保护” 功能后，DI-7100 会持续向局域网内发送 ARP包，通过这种方式不停刷新客户机上 ARP 缓存中的 IP MAC 对应表来达到抑制 ARP 欺骗的目的。除此之外，DI-7000 还提供了两种 ARP欺骗防御机制，一是常见的 IP/MAC 绑定功能，二是 ARP 信任机制。 本功能用于实现内网计算机的 IP 地址与 MAC 地址之间的绑定。路由器的 ARP 映射表如果被更改，整个网络将陷于瘫痪。使用路由器集成的 IP-MAC 扫描工具，一键绑定内网计算机的 IP 和 MAC，可以极大降低因 ARP 欺骗造成的“掉线” 故障。 地址绑定一旦配置完成后，指定的 IP 地址就只能被指定的计算机使用，解决了局域网中 IP 地址被随意改动而导致的 IP 地址冲突。另外也可以通过选中“禁止未绑定 ARP 信息的主机通过” 选项来禁止所有未被绑定的计算机出访互联网。 点击“动态列表” — — >“扫描 MAC” ，可以扫描出内网活动主机的IP/MAC 地址，如下图所示： 第 3 页 共 7 页 DI-7000 的IP/MAC 绑定页面，用户可以“一键”绑定内网中所有IP/MAC 对应关系，使用编辑功能可以为每条记录增加描述信息。如下图： 在这里 DI-7000 提供了一个比较实用的功能，“禁止未绑定IP/MAC的主机通过”，如果启用该功能，未进行 IP/MAC 绑定的主机将无法访问 DI-7000，当然更无法通过 DI-7000 访问 INTERNET。使用这一功能可以非常有效的防止非法用户“蹭网”。 点击“批量绑定”，在此手动添加内网主机的IP/MAC 项，IP 和MAC 之间用一个空格分开。点击“保存”按钮，可以将绑定内容添加到绑定列表。 第 4 页 共 7 页 ARP 信任机制 ARP 信任设置的基本选项如下图： 启用ARP 信任检测功能：启用ARP 信任检测功能，路由器将自动对学习的ARP...