NETGEAR WNDR4300无线路由IP-MAC绑定及ARP保护功能
袁家驹 发表于:13年06月17日 13:15 [来稿] DOIT.com.cn
可能很多人都知道美国网件NETGEAR推出的高级版WNDR4300双频千兆无线宽带路由器,提供高性能的无线网络:无线连接速率最高可达300+450 Mbps,采用2.4GHz网络和5GHz双频并发技术以避免干扰,确保顶级的无线网络速率和可靠性。但是还不清楚它还可以支持IP-MAC 绑定及ARP 保护功能。
IP-MAC地址绑定功能会在某些家用型号的新版固件中出现,如果设备支持,可在管理界面 高级>安全>IP-MAC绑定 选项中找到此功能.启用IP-MAC绑定,路由器将同时执行如下操作:
1、IP地址保留,将为指定MAC预留地址池中特定IP地址.不在预留列表的终端接入路由器后依然可以获取IP地址,但不会获取已预留的IP地址.这一功能会帮助您在终端自动获取IP地址的情况下,总是分配特定的IP地址给指定的设备,但这是以接入用户没有自行更改网卡MAC地址为前提的。
2、静态ARP条目,指定IP与MAC将作为静态条目出现在路由器ARP表中.注意,这并不意味未绑定的ARP条目不会动态学习.路由器依然会发起ARP请求(ARP Request)亦会处理ARP响应(ARP Response).静态ARP条目在管理员不干预的情况下,不会因为主机的宣告而更改IP与MAC的对应关系.静态条目也不会受老化时间影响而超时失效.这会使您在一定程度上免受内网ARP攻击。
3、IP与MAC相互绑定,这意味IP必须匹配MAC,反之亦然.如果指定IP没有与绑定的MAC对应(或指定MAC没有对应绑定IP)路由器会在内网网关处丢弃这些数据包(另外一些型号的设备会在路由器WAN侧丢弃这些数据包,这取决于固件的设计),但这不意味LAN间的通讯会被阻断.此功能是为了防止某些终端设备自行更改已经规划并指定的IP地址。
举例:如有三台终端设备设置如下:
主机1:MAC地址(01:02:03:04:01),IP地址(192.168.1.10)
主机2:MAC地址(01:02:03:04:02),IP地址(192.168.1.20)
主机3:MAC地址(01:02:03:04:03),IP地址(192.168.1.30)
如上述所有条目均被加入IP-MAC绑定列表,并发生以下事件:
主机1:设置与IP-MAC列表相同的IP和MAC地址
主机2:设置为匹配IP-MAC列表中IP地址,但不匹配MAC
主机3:设置为匹配IP-MAC列表中MAC地址,但不匹配IP
路由器会在内网网关处(另外一些型号的设备会在路由器WAN侧丢弃这些数据包,这取决于固件的设计)丢弃主机2与主机3的数据包,放行主机1去往外网的数据包.另外需要说明的是:
1、IP-MAC列表在NETGEAR家用路由设备中将与DHCP地址池预留表使用同一张表,这就是为什么点击IP-MAC绑定列表的 编辑 按键,管理界面会跳转到 局域网IP设置 中,关闭 将路由器用作DHCP服务器 功能将使 IP-MAC地址绑定 功能失效.同理,在没有启用 将路由器用作DHCP服务器功能的前提下,亦无法启用 IP-MAC地址绑定功能。
2、在内网网关处丢弃数据包的设计(例如JNR3210)将阻止不在IP-MAC绑定列表中终端设备访问路由器管理界面(虽然您可能ping通路由器内网管理地址),也就是说,如果您的DHCP地址池在没有预留任何条目的情况下开启IP-MAC绑定功能,虽然您有可能ping通路由器的内网管理地址,但将不再有任何设备可以管理路由器.另一些在WAN端丢弃数据包的设计(例如WNDR4300)将允许不在IP-MAC绑定列表中终端设备访问路由器管理界面。
3、主机2与主机3间的通讯不受IP-MAC绑定功能的影响。
IP-MAC绑定设置方式如下:
1、进入路由器管理界面,依次点击 高级>安装>局域网IP设置 保持 将路由器作为DHCP服务器 的勾选状态,点击 添加。
2、至少加入一台PC用于管理。
3、进入路由器管理界面,依次点击高级>安全>IP-MAC绑定 勾选 启用IP-MAC绑定,点击 应用 确认。
现在是不是又对强悍精致的NETGEAR WNDR4300有了更深的应用认识,IP-MAC 绑定及ARP 保护功能也同样适用于JNR3210和WNDR3700v4哦。