Qno侠诺酒店用户ARP病毒防制攻略

　　图1: 激活防止ARP病毒攻击

　　其次，利用Qno侠诺路由器多子网功能，加划VLAN的方法，对客房区和办公区进行防ARP设置。结构图如图2所示。

　　图2: 划分VLAN结构图

　　把路由器设定两个网段，本身的网段给客房区客人用，再利用多子网功能，为办公区设另一个网段内部办公用。在路由器下面接出来两个交换机，分别利用路由器的虚拟局域网功能划出两个VLAN，划分VLAN可根据LAN口的数量而定，客房区应该尽可能多的划分，以减少客房相互间的影响。如图3所示。

　　图3: 端口设置

　　此功能可以让网管人员在自己的局域网内将每一个局域网端口设定1个或多个不同网段且无法互通的局域网端口，但都可以通过路由器上网。在同一个网段内的成员（在同一个VLAN局域网络内）可互相沟通并看得到对方，若不在同一个VLAN群组内的成员则无法得知其它成员的存在。

　　然后在防火墙设置里，添加一条新访问规则禁止客房区本身的网段访问办公区子网段。这样做是为了防止ARP，使网络更加安全。如图4所示。如也需要限制办公区子网段不能访问客房区网段，则需激活前面一条规则。

　　图4:设置访问规则

　　Qno侠诺路由器在MAC绑定功能页面下方有两个选项，一个是"封锁在对应列表中IP地址错误的MAC地址"，另一个是"封锁不在对应列表中的MAC地址"。 如图5。

　　图5: IP及MAC 地址绑定

　　大家知道要彻底的防止ARP病毒，需要做双向绑定，但是客房是不能做绑定的，因为客人天天变，所以，不勾选"封锁不在对应列表中的MAC地址"。但办公区的网段是固定的，我们可以绑定在路由器上，并勾上"封锁在对应列表中IP地址错误的MAC地址"， 那么设定为固定IP的计算机或通过此功能已发给特定IP的计算机擅自更改IP为非指定的IP地址时，则会无法上网。这样，一则可以防止其它人乱改IP跟内部冲突，二则ARP病毒不会对办公区产生影响。

　　如果内网发现ARP攻击，排除方法可参考Qno侠诺关于排除防制ARP攻击的技术文章"ARP攻击防制进阶篇---侠诺科技ARP防制经验谈"。

　　以上方法基本可以解决ARP病毒攻击对网络造成相关问题，这样客人的又可以从DHCP分IP，又不影响到酒店内部办公。避免了因办公网络瘫痪，而造成大部分房客check ou时，手拎大包小包无限时在等的情况。ARP欺骗病毒在相当长的时间内还会继续存在，侠诺科技将不断的为用户提供各种解决方案，帮助用户打造一个安全稳定、高效的接入环境。