如何永久绑定网关IP-MAC防止网关欺骗

    通过静态绑定网关IP的MAC地址，可以有效防止内网中的网关欺骗。不同的操作系统绑定方法各有不同。

    1、Windows Server 2003系统

        a.、检查当前arp绑定情况：arp -a

        b、添加arp静态绑定：arp -s 网关IP 网关MAC

             命令：arp -s 160.19.51.181 00-1e-08-0b-b0-37

        c、删除arp静态绑定：arp -d

以上是Windows Server 2003系统操作系统的网关ARP的临时静态绑定，服务器重启之后会失效，永久静态绑定步骤如下：

      d、新建一个批处理文件，可命名为ip-mac.bat，写入命令arp -s 网关IP 网关MAC，并保存。

      e、设置开机执行批处理文件：gpedit.msc打开组策略编辑器，打开【计算机配置】-【windows设置】-【脚本（启动/关机）】，添加刚才创建的批处理文件ip-mac.bat，点应用。

      f、手动执行ip-mac批处理文件，从绑定前后的ARP缓存列表中，可以看到网关160.19.51.129的记录标志已经从dynamic变为static，说明静态绑定成功。重启服务器开机会自动执行批处理文件，ARP绑定就不会失效了。

  2、Windows Server 2008/2012/2016系统，这几类系统可以使用netsh命令，并且执行之后都是永久生效。

        a.、检查当前arp绑定情况：

        b、查看外网网卡的IDX编号：netsh i i show in ，输出列表最左边的一列为IDX编号，实例中IDX为10。

        c、添加arp静态绑定：

             netsh -c i i add neighbors 外网网卡IDX 网关IP 网关MAC

             命令：netsh -c i i add neighbors 10 160.19.51.181 00-1e-08-0b-b0-37

        d、删除arp静态绑定：

             netsh -c i i del neighbors 外网网卡IDX

             命令：netsh -c i i del neighbors 10

  3、CentOS/Ubuntu/Debian操作系统的网关ARP静态绑定：

        a、查看当前arp：arp

             查看当前arp绑定情况：arp -a

        b、添加arp静态绑定：

             arp -s 网关IP 网关MAC

             命令：arp -s  160.19.51.129 00:1e:08:0b:b0:37

说明：Flags Mask出现CM，表示静态绑定的ARP条目；arp -a出现的PERM代表永久的ARP条目。

        c、删除arp静态绑定：

             arp -d 网关IP

             命令：arp -d 160.19.51.129，即可删除绑定，arp -a的结果会恢复到最初未静态绑定的状态。

以上是CentOS/Ubuntu/Debian操作系统的网关ARP的临时静态绑定，服务器重启之后会失效，永久静态绑定步骤如下：

        d、新建一个静态的mac-->ip对应表文件：ip-mac，将要绑定的IP和MAC地下写入此文件，格式为 ip mac。

             命令：echo '160.19.51.181 00:1e:08:0b:b0:37 ' > /etc/ip-mac

             验证：more /etc/ip-mac

        e、设置开机自动绑定

             命令：echo 'arp -f /etc/ip-mac ' >> /etc/rc.d/rc.local

        f、手动执行一下绑定，从绑定前后的ARP缓存列表中，可以看到网关160.19.51.129的记录标志已经改变（Flags Mask中的CM标识和arp -a中的PERM永久绑定标识），说明永久绑定成功，重启服务器ARP绑定就不会失效了。

             命令：arp -f /etc/ip-mac

             验证：arp -a