路由器故障：靜態ARP配置不生效

網絡環境

如圖所示，NE80/40下接的網絡中有一臺PC對路由器發起攻擊。我們對該PC的IP地址和MAC地址進行ARP靜態綁定，防止其繼續對路由器發起攻擊。

組網圖

在系統視圖下執行命令arp static 192.168.101.2 0018-8b89-d949 vpn-instance YNBTN_CAIWU，配置完成后，發現路由器仍然遭到來自PC的ARP攻擊，防攻擊配置實效。

故障分析

步驟 1     通過命令display arp查看設備的ARP表項，如下所示：

<Quidway> display arp  
 
Arp Table:  
 
Total number of arp:3   static:1   dynamic:2  
 
IP Address      MAC Address     VlanID     Type    VPN-Instance     Interface  
 
192.168.101.2   0018-8b89-d949              S         YNBTN_CAIWU  
 
192.168.101.2   0050-8bb3-c8b3   98         D         YNBTN_CAIWU    Eth8/0/1  
 
100.1.1.168     000d-88f8-332c               D                           MEth0 

從顯示信息中可以看到，接口Eth8/0/1學到的是動態ARP（即IP地址192.168.101.2對應MAC地址0050-8bb3-c8b3對應），用于防攻擊的靜態ARP配置沒有生效，失效原因為配置靜態ARP時，沒有與接口關聯，導致ARP表項沒有更新。

----結束

處理步驟

在路由器上執行以下操作。

步驟 1     配置靜態ARP時，將其與接口Eth8/0/1關聯。

<Quidway> system-view  
 
[Quidway] arp static 192.168.101.2 0018-8b89-d949 vid 98 interface ethernet 8/0/1 

步驟 2     在設備上查詢ARP表項。

<Quidway> display arp  
 
Arp Table:  
 
Total number of arp:2   static:1   dynamic:1  
 
IP Address      MAC Address     VlanID     Type    VPN-Instance     Interface  
 
192.168.101.2   0018-8b89-d949   98         S         YNBTN_CAIWU     Eth8/0/1  
 
100.1.1.168     000d-88f8-332c               D                           MEth0 

查看到ARP表項已經更新，防攻擊配置生效。

----結束

案例總結

在配置靜態ARP時，需要將其與接口進行關聯，否則配置不生效。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]