网关ARP防护的措施

内网最容易的攻击方式就是网关欺骗

比如某个用户不小心配置了一个网关同样的IP；错误将路由器的LAN口接入到了内网；不一而足
某单位2次遇到这种情况，稍有感触，做下记录。

现象：部分客户端网络正常；另外一部分网络异常；同网段的可以通讯，跨网段通讯异常；上网业务异常；网络时好时坏

华为所作的工作如下：
当网络中存在攻击者Attacker仿冒网关或用户误配主机IP地址为网关地址时，其发送的ARP报文会使得网络中其他用户误以为Attacker即网关，造成正常用户跟网关的数据通信中断。在设备与网关相连的接口上配置ARP网关保护功能，可以防止伪造网关攻击。当来自网关的ARP报文到达设备时：
开启对网关地址保护功能的接口：正常接收转发该ARP报文。
未开启对网关地址保护功能的接口：丢弃该ARP报文。
操作步骤
执行命令system-view，进入系统视图。
执行命令interface interface-type interface-number，进入接口视图。
执行命令arp trust source ip-address，开启ARP网关保护功能，并配置被保护的网关IP地址。
缺省情况下，ARP网关保护功能处于关闭状态。
每个接口下最多可以指定8个被保护的网关IP地址，全局最多支持指定32个被保护的网关IP地址。全局在不同的接口下指定相同的网关IP地址，这种情况认为指定了多个被保护的网关IP地址。
如下图：华为ARP网关防护是在接入层交换机的上行口配置的。

H3C 配置也比较简单，如下图示例，配置位置比华为灵活，可以在接入交换机上面配置，也可以在核心交换机上面配置：

配置步骤
system-view
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] arp filter source 10.1.1.1
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] arp filter source 10.1.1.1

锐捷交换机的配置方法：

1. 在接客户机的端口上开启防网关arp欺骗功能
   Ruijie>enable
   Ruijie#configure terminal
   Ruijie(config)#interface FastEthernet 0/1
   Ruijie(config-if-FastEthernet 0/1)#anti-arp-spoofing ip 192.168.1.254 ------>配置防网关arp欺骗
   
   但是中兴交换机却没有类似该命令。

处理方式：最好的方式就是利用mac地址表找到接口所街设备，把它下电，或者修改ip。但显然不是长久之计，而且并不是每次运维人员都在现场，也不是每次都能第一时间将设备找到。
这个时候就需要想办法，将这个mac地址的流量过滤掉。当我们通过查看客户端ARP表，或者通过抓包，发现内存存在某个非法设备MAC对应内网网关，通过dis mac-address | inc xxxx或者 show mac table | inc xxxx 层级查找到非法MAC地址对应的端口所在的接入交换机后，就可以使用MAC黑洞将该设备拉黑。具体配置以H3C交换机为例：
sys
[H3C]sysname SW
[SW]vlan 3
[SW-vlan3]quit
[SW]mac-address blackhole 94c3-6ebf-0400 vlan 3
[SW]save
如果是中兴交换机则先进入 mac视图
然后执行 filter MAC-ADDRESS vlan 3 将指定MAC 拉黑。
或者如果设备直连可网管交换机，可以将对应接口关闭。
但是以上这些做法有个问题，比如底下接入层接了小的傻瓜式的HUB交换机，这个时候，即使汇聚，核心做了这些操作，由于ARP广播的问题，HUB所在接入层设备还是依然会学习到错误的网关MAC地址，导致跨网段通信异常，这个时候就需要终端做ARP网关绑定了，例如，windows下，cmd 输入
arp -s 192.168.1.1 00-1A-2B-3C-4D-5E 将正确的网关IP和网关MAC绑定。
但是问题是如果接入终端是哑终端呢，目前没有办法做到让哑终端能够绑定IP-MAC，例如考勤机，摄像头，不过可以通过端口安全，端口手工指定MAC的方式 ，例如https://www.h3c.com/cn/d_202502/2363575_30005_0.htm#_Toc191487539 来变相实现过滤恶意MAC的问题，也是一种不得已的情况下的解决方案。
或者干脆通过二层acl过滤来做也非常方便，比如华三的写法：
[SW1]acl mac 4000
[SW1-acl-mac-4000]rule 0 deny source-mac 7844-E538-0306 FFFF-FF00-0000
[SW1-acl-mac-4000]rule 1 permit
[SW1-acl-mac-4000]quit
[SW1]int gi 1/0/1
[SW1-GigabitEthernet1/0/1]packet-filter mac 4000 outbound
[SW1-GigabitEthernet1/0/1]quit
再比如华为的写法：
https://support.huawei.com/enterprise/zh/doc/EDOC1000069579/fffdf934
同时在实施桌管或者EDR、或者杀毒软件的时候建议是将ARP网关防护功能打开，特别是服务器段，来规避可能带来的网关冲突带来的问题。