ARP（Address Resolution Protocol，地址解析協議）用于將網絡層的IP地址解析為數據鏈路層的物理地址。網絡上的一臺主機把以太網數據幀發送到位于同一局域網上的另一臺主機時，是根據主機的數據鏈路層地址（包括MAC地址）進行轉發的，設備驅動程序從不檢查IP數據報中的目的IP地址，所以這就需要將IP地址解析為數據鏈路層地址。

ARP欺騙

按照ARP協議的設計，一個主機也會接收不是自己主動請求的ARP應答，并將應答中的IP地址和物理地址添加到ARP表中，這樣設計是為了減少網絡上過多的ARP通信量，但同時也為“ARP欺騙”創造了條件。

ARP欺騙的方式有多種，中間人攻擊、網關欺騙、主機欺騙等等。一般來說，ARP欺騙攻擊的后果非常嚴重，大多數情況下會造成大面積頻繁掉線，嚴重的會威脅到網絡安全，如網游、網銀的帳號被盜等安全問題。

ARP防護

傳統的ARP防護措施是在寬帶路由器和計算機上進行雙向綁定，但是仍然存在兩個不足：

1、每臺計算機上均需要添加批處理文件，對于大中型的網吧、校園網等來說，工作量太大；

2、傳統的雙向綁定只保證上互聯網不受欺騙，但是內網的計算機與計算機之間的安全沒有保障；

綜合以上兩個不足及ARP攻擊的特點，TL-SG2224E/2224P交換機給出了有效的防ARP攻擊解決方案。通過對交換機每個端口進行分析，杜絕ARP欺騙報文從任何一個端口轉發，同時保證了內部和外部網絡安全。

TL-SG2224E/SG2224P網吧ARP防護解決方案

圖中以TL-SG2224E作為主交換機，TL-SG2224P作為接入交換機，這兩款交換機都有ARP防護功能，下面主要介紹ARP防護配置步驟，并以A、B交換機為例，進行ARP防護相關設置舉例，C、D交換機的設置與B類似。

ARP防護設置

步驟一：確認網絡中的特殊端口

特殊端口是針對交換機而言的，交換機對特殊端口的ARP報文直接轉發。特殊端口判定標準：

1、與路由器級聯的端口，如圖中A交換機的4端口；

2、與其他具有ARP防護功能設備級聯的端口，如圖中A交換機的端口1、2、3；

因此，上圖中A交換機的1、2、3、4端口為特殊端口，B、C、D交換機的1端口為特殊端口。

步驟二：添加主機的IP、MAC和交換機端口的對應關系，添加方式有手動和動態掃描兩種方式

步驟三：全局配置

ARP攻擊防護功能由“禁用”改為“啟用”，勾選“特殊端口”，最后“提交”。

根據三步驟，A交換機配置如下：

1、確認特殊端口：A交換機的1、2、3、4端口為特殊端口。

2、設置主機綁定：這里以手動方式添加計費、游戲、音樂服務器的MAC、IP地址到5、6、7端口：

3、全局配置：

根據三步驟，B交換機設置如下：

1、確認特殊端口：B交換機的1端口為特殊端口。

2、設置主機綁定：這里以動態掃描方式設定B交換機下電腦MAC、IP地址和端口的對應關系。

在“主機綁定”頁面選擇“主機掃描”，根據實際情況填寫B交換機下電腦的起止IP地址，除特殊端口外其他端口均為需要掃描的端口，如下圖，點擊“掃描”，得到掃描結果后，選擇“全選”并“綁訂選中項”：

3、全局配置：

至此，A、B交換機ARP防護設置完成。

補充說明：

1、一定要將所有電腦都主機綁定后，方可開啟ARP攻擊防護功能，否則未綁定的電腦無法上網。

2、若路由器級聯了其他不具有ARP防護功能的設備時，A交換機的4端口為非特殊端口。

3、若主機掃描出現類似以下情況，即掃描到相同的MAC地址對應不同的IP地址時，交換機會以紅色凸顯，選定時請手動選擇正確的MAC和IP地址對應關系。

4、非法ARP報文統計，此功能是統計非特殊端口收到的非法ARP報文，如下圖，當非法ARP報文攻擊速率達到100pps時，交換機會以紅色凸顯警告。