路由器故障：静态ARP配置不生效

网络环境

如图所示，NE80/40下接的网络中有一台PC对路由器发起攻击。我们对该PC的IP地址和MAC地址进行ARP静态绑定，防止其继续对路由器发起攻击。

组网图

在系统视图下执行命令arp static 192.168.101.2 0018-8b89-d949 vpn-instance YNBTN_CAIWU，配置完成后，发现路由器仍然遭到来自PC的ARP攻击，防攻击配置实效。

故障分析

步骤 1     通过命令display arp查看设备的ARP表项，如下所示：

<Quidway> display arp  
 
Arp Table:  
 
Total number of arp:3   static:1   dynamic:2  
 
IP Address      MAC Address     VlanID     Type    VPN-Instance     Interface  
 
192.168.101.2   0018-8b89-d949              S         YNBTN_CAIWU  
 
192.168.101.2   0050-8bb3-c8b3   98         D         YNBTN_CAIWU    Eth8/0/1  
 
100.1.1.168     000d-88f8-332c               D                           MEth0 

从显示信息中可以看到，接口Eth8/0/1学到的是动态ARP（即IP地址192.168.101.2对应MAC地址0050-8bb3-c8b3对应），用于防攻击的静态ARP配置没有生效，失效原因为配置静态ARP时，没有与接口关联，导致ARP表项没有更新。

----结束

处理步骤

在路由器上执行以下操作。

步骤 1     配置静态ARP时，将其与接口Eth8/0/1关联。

<Quidway> system-view  
 
[Quidway] arp static 192.168.101.2 0018-8b89-d949 vid 98 interface ethernet 8/0/1 

步骤 2     在设备上查询ARP表项。

<Quidway> display arp  
 
Arp Table:  
 
Total number of arp:2   static:1   dynamic:1  
 
IP Address      MAC Address     VlanID     Type    VPN-Instance     Interface  
 
192.168.101.2   0018-8b89-d949   98         S         YNBTN_CAIWU     Eth8/0/1  
 
100.1.1.168     000d-88f8-332c               D                           MEth0 

查看到ARP表项已经更新，防攻击配置生效。

----结束

案例总结

在配置静态ARP时，需要将其与接口进行关联，否则配置不生效。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]