HQY 一个和谐有爱的空间

配置静态ARP举例

通过本配置举例，您可以了解到企业部门通过合理配置静态ARP，保证通信的安全性。

组网需求

如图1所示，某企业通过USG实现各个部门之间的互连，且各个部门加入不同的VLAN。其中，总裁办公室和文件备份服务器采取手工方式分配到固定IP地址，其他部门通过DHCP方式分配到动态IP地址。

由于市场部拥有访问外网的权利，主机经常会感染ARP病毒的，攻击USG并修改USG上的动态ARP表项，造成总裁办公室与外界的通信中断以及各个部门不能正常访问文件备份服务器。企业希望在USG进行配置，以保证总裁办公室与外界的通信安全，并保证各个部门能正常访问文件备份服务器。

图1 配置静态ARP组网图

项目数据备注USG（1）接口号：GigabitEthernet 6/0/2IP地址：10.10.10.10/24安全区域：TrustGigabitEthernet 6/0/2接口连接文件备份服务器。（2）接口号：Ethernet 4/0/0VLAN：10Vlanif接口的IP地址：10.10.1.20/24安全区域：TrustEthernet 4/0/0接口连接总裁办公室所属的10.10.1.0/24网络。（3）接口号：Ethernet 4/0/1VLAN：20安全区域：TrustEthernet 4/0/1接口连接市场部所属的10.10.2.0/24网络。（4）接口号：Ethernet 4/0/2VLAN：30安全区域：TrustEthernet 4/0/2接口连接研发部所属的10.10.3.0/24网络。文件备份服务器IP地址：10.10.10.1/24MAC地址：0025-1185-8C21-

配置思路

说明：

本例仅介绍ARP相关的配置，为企业提供的其他服务如DHCP等相关的配置，不在此介绍。

静态ARP的配置思路如下：

1.   为防止总裁办公室的主机的ARP表项被ARP攻击报文修改，造成总裁办公室与外界的通信中断，需要在USG上为总裁办公室主机配置静态ARP表项。

2.   为防止文件备份服务器的ARP表项被ARP攻击报文修改，造成各个部门不能正常访问文件备份服务器，需要在USG上为文件备份服务器配置静态ARP表项。

操作步骤

1.   为总裁办公室主机配置静态ARP表项。

说明：

交换LAN口不能配置IP地址。如果需要通过交换LAN口进行三层通信，需要把交换LAN口加入VLAN，在VLAN对应的Vlanif接口上配置IP地址。

缺省情况下，任何一个LAN接口都已加入VLAN 1。

# 创建VLAN 10。

<USG> system-view

[USG] vlan 10

[USG-vlan-10] quit

# 将接口Ethernet 4/0/0加入VLAN 10。

[USG] interface Ethernet 4/0/0

[USG-Ethernet4/0/0] port link-type hybrid

[USG-Ethernet4/0/0] port hybrid vlan 10 tagged

[USG-Ethernet4/0/0] port hybrid pvid 10

[USG-Ethernet4/0/0] quit

# 配置接口Vlanif 10的IP地址。

[USG] interface Vlanif 10

[USG-Vlanif10] ip address 10.10.1.20 255.255.255.0

[USG-Vlanif10] quit

# 配置总裁办公室主机的静态ARP表项。以PC_A为例，IP地址为10.10.1.1，对应的MAC地址为0021-97cf-2238，VLAN编号为10。

[USG] arp static 10.10.1.1 0021-97cf-2238 vid 10

2.   为文件备份服务器配置静态ARP表项。

# 配置接口GigabitEthernet 6/0/2的IP地址。

[USG] interface GigabitEthernet 6/0/2

[USG-GigabitEthernet6/0/2] ip address 10.10.10.10 255.255.255.0

[USG-GigabitEthernet6/0/2] quit

# 配置文件备份服务器的静态ARP表项，IP地址为10.10.10.1/24，对应的MAC地址为0025-1185-8C21。

[USG] arp static 10.10.10.1 0025-1185-8C21

3.   对于USG系列，将接口加入安全区域，并配置域间包过滤，以保证网络基本通信正常，具体步骤略。对于USG BSR/HSR系列，不需要将接口加入安全区域以及配置包过滤。

结果验证

1.   在USG上执行命令display arp static，查看已配置的静态ARP表项。

2.  [USG] display arp static

3.  IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE

4. 

5.                                            VLAN/PVC

6.  ------------------------------------------------------------------------------

7.  10.10.1.1       0021-97cf-2238            S

8.                                              10/-

9.  10.10.1.2       0021-97cf-2239            S

10.                                            10/-

11.10.10.1.3       0021-97cf-2240            S

12.                                            10/-

13.10.10.10.1      0025-1185-8c21            S

14.------------------------------------------------------------------------------

Total:4         Dynamic:0       Static:4    Interface:0

15.  总裁办公室与外界的通信安全，没有出现中断现象。

16.  各个部门能正常访问文件备份服务器。

配置脚本

USG的配置脚本

#

 sysname USG

#

 vlan batch 1 10 20 30

#

interface Vlanif 10

 ip address 10.10.1.20 255.255.255.0

#

interface GigabitEthernet6/0/2

 ip address 10.10.10.10 255.255.255.0

#

interface Ethernet4/0/0

 portswitch

 port link-type hybrid

 port hybrid pvid 10

 port hybrid vlan 10 tagged

#

interface Ethernet4/0/1

 portswitch

 port link-type hybrid

 port hybrid vlan 20 tagged

 port hybrid pvid 20

#

interface Ethernet4/0/2

 portswitch

 port link-type hybrid

 port hybrid vlan 30 tagged

 port hybrid pvid 30

#

firewall zone trust

 set priority 85

 add interface GigabitEthernet6/0/2

 add interface Vlanif10

 add interface Vlanif20

 add interface Vlanif30

#

arp static 10.10.1.1 0021-97cf-2238 vid 10

arp static 10.10.1.2 0021-97cf-2239 vid 10

arp static 10.10.1.3 0021-97cf-2240 vid 10

arp static 10.10.10.1 0025-1185-8C21

#

return

 

如果要删除静态ARP表项如下方式：

undo arp static 10.10.10.1 0025-1185-8C21