今天在学习的过程中,突然发现原来之前作为一个电脑维修员很难解决的问题,学习了arp之后很简单就可以解决了,果然是学无止境,知识真的可以让我们的生活工作更加简单快捷。
之前的文章我们学会了简单的配置交换机。
今天我们学习一下怎么样配置路由器
如下图配置连接一下
首先我们给我们的pc1,2,3分别配置一下ip地址并启动
ip地址分别是10.1.1.1,10.1.1.2,10.1.2.3,如下图
我已经迫不及待的想要分享这个知识了,我们现在配置路由器中的端口ip地址
这里,我们配置完端口1的ip之后,我们输入quit退出到视图界面,继续配置2端口的ip
配置完之后我们查看一下arp列表
这里就是我们刚才配置的ip
然后我们通过启动所有设备来让我们的pc和路由器之间可以ping通
上述ARP协议的工作行为往往被攻击者利用。如果攻击者发送伪造的ARP报文,而且报文里面所通告的IP地址和MAC地址的映射是错误的,则主机或网关会把错误的映射更新到ARP表中。当主机要发送数据到指定的目标IP地址时,从ARP表里得到了不正确的硬件MAC地址,并用之封装数据帧,导致数据帧无法正确发送。由于公司内主机感染了这种ARP病毒,所以主机对网关R1进行ARP攻击,向网关R1通告含错误映射的ARP通告,导致网关路由器上使用不正确的动态ARP映射条目,造成其他主机无法与网关正常通信。
接下来我们使用命令在路由器上静态添加一条关于PC1的错误的ARP映射。(模拟黑客攻击)
这条命令可以让我们改变ip地址中的mac地址,
我们现在再通过pc ping路由我们发现ping不通了
这是为什么呢?
因为啊
因为ARP映射了错误的物理地址,我们来抓一下包,可以看到,当pc1发送ping请求时,回去的包,网关发送到了错误的地方
应对ARP欺骗攻击,防止其感染路由器的ARP表,可以通过配置静态ARP表项来实现。如果IP地址和一一个MAC地址的静态映射已经出现在ARP表中,则通过动态ARP方式学来的映射则无法进入ARP表。所以针对公司网络的现状,网络管理员在R1上手工配置三条关于PC-1、PC-2和PC-3的正确ARP映射。使用arp static命令,配置如下。
删除错误的:
绑定正确的:
然后我们再测试一下就好了
当然这种方法的优点是操作简单,但是它的缺点是必须使网络中的设备都在ARP表中,工作量太大,那我们该怎么办呢?
静态ARP不行,Proxy ARP便出现了
首先,我们先提出一个问题
我们想通过PC2来ping通PC3,我们现在怎么才可以实现呢?
我们可以自己试着ping一下
果然ping不通
那么我们通过arpproxy命令就可以实现这个操作
我们进入端口输入arp-proxy enable就可以啦 当然路由器的两个端口都要这么操作一下才行
最后我们可以自己试着ping一下,果然ping通了