前言：

    春节是中华民族的传统佳节，这个时候，也正是酒店行业所重视的消费黄金期，大家走亲访友、春节出游都免不了到酒店住上一晚。酒店行业这个时候除了推出一系列节日优惠入住方案，让大家感受到温馨的节日气氛外，可不要忽视了酒店网络系统的安全与稳定，特别是酒店行业经常会遇到的ARP欺骗，因为这同样可以影响到酒店的声誉与入住率。

    艾泰科技作为国内领先的中小型网络解决方案提供商和服务商，在春节黄金期间，为酒店行业量身打造了酒店网络系统ARP解决方案，帮助酒店行业在春节期间，赚取丰厚利润。

    首先让我们先来认识下，什么是ARP欺骗。

1、什么是ARP欺骗？

    1) 从影响网络连接通畅的方式来看，ARP欺骗分为二种：一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

    2) 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

    3) 第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

2、ARP欺骗的典型症状？

    ARP病毒发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP病毒停止发作时，用户会恢复从路由器上网，切换过程中用户会再断一次线。此时网络管理员对每台机器使用“arp –a”命令来检查ARP表发现路由器的MAC地址被修改，这就是ARP病毒攻击的典型症状。

    目前ARP病毒已经与DDoS攻击相容合，采用了flood方式攻击其他IP地址，并可以在局域网内互相感染，严重时可造成整个网络瘫痪。

    近段时间，国内网吧、企业、酒店等行业大都出现过由于ARP病毒引起的断线(全断或部分断线)的现象，由于该病毒变种太多，传播速度太快，国内外的反病毒厂商都没有很好的办法来解决ARP病毒问题。

    在上述行业里，尤其是酒店行业不同于网吧和企业，因为，在酒店客房里的主机是不断变化的，这就意味着遭遇ARP欺骗时，不可能通过IP与MAC地址绑定的传统方法解决此问题，所以，针对使用HiPER路由器的酒店用户特提出以下解决方案：

方案一：

    升级到艾泰科技最新推出ReOS 2009版本，可以做到酒店客人上线时，其IP/MAC被自动绑定，酒店客人下线时，其IP/MAC绑定在一定时间内被自动删除的功能。

    1、 启用HiPER的DHCP功能；

    2、 登录页面基本配置—DHCP和DNS配置页面，勾选启用DHCP自动绑定和自动删除，如图所示：

    3、 为了达到双向绑定的效果，请在WEB页面—安全配置—基本选项中选中“启用ARP欺骗防御”并保存，默认情况下已经启用。

方案二：

    采用双向绑定的方法解决并且防止ARP欺骗。

    首先，在PC上绑定路由器的IP和MAC地址。

    方法①：可直接在HiPER路由器高级配置-IP/MAC绑定页面点击导出ARP绑定脚本文件，将这个批处理软件拖到“windows开始―程序―启动”中，每次PC机启动自动加载该批处理文件。

    方法②：可编写一个批处理文件rARP.bat内容如下：

    @echo off

     ARP –d

     ARP –s 内网网关IP地址内网网关MAC地址

    将这个批处理软件拖到“windows开始―程序―启动”中，每次PC机启动自动加载该批处理文件。

    缺点：一旦ARP变种病毒采用flood攻击，到达一定强度后，该防御失效。

    然后，在路由器上绑定用户主机的IP和MAC地址。

    备注：方案二的双向绑定实施后可以从路由器WEB页面—安全配置—ARP欺骗防御页面关闭方案一中的ARP广播功能。

    该方案二如果针对酒店的话，因客房PC的MAC地址经常变动，无法从路由器绑定客房PC的IP/MAC地址，所以建议每间客房按照一定次序均设置固定IP，然后每个客房PC设好固定IP后，可从酒店一台服务器的共享文件夹中下载导出ARP绑定脚本文件到本机的桌面上，当房客上网或受到ARP欺骗时只需在本机桌面上双击该批处理文件即可。

方案三：

    采用艾泰科技新推出的PPPoE Server方法解决并且防止ARP欺骗。

    对以太网有所认识的人都知道，ARP表是每台设备（电脑）的MAC地址和IP地址的关系对应表。如果设备需要在局域网中利用TCP/IP协议进行通信的话，必须有这样一张ARP表。ARP表是每台设备（电脑）自行维护的，而ARP表的数据，是来自于开放的“ARP广播”机制，由每台设备在网上广播自己的IP/MAC地址的对应关系来做到的。

    虽然使用下层设备和上层设备做双向绑定可解决ARP欺骗所造成的断网现象，但是此方式的缺陷是在网络内ARP数据包乱飞，影响网络质量，而且在用户多的情况下，用户端绑定不利于实施，仅适用于小型网络。在此我们推荐使用HiPER路由器最新推出的PPPoE Server方式上网，PPPoE不使用ARP协议，也就不会产生ARP，而且PPPoE不会改变原来的局域网拓扑结构，它是PPP在以太网上的二次封装。并且通过HiPER建立的PPPoE Server帐号在任何情况下都可以限制给若干个用户使用，既可内网全部机器使用一个账号上网也可通过MAC绑定使每个账号只允许一个或几个PC拨号上网。

    HiPER PPPoE Server端配置步骤：

    1、    进入WEBUI -PPPoE服务器配置页面，启用PPPoE 服务器，并设置PPPoE分配的地址池范围和主备DNS地址的设置，如图所示：

    2、    设置PPPoE Server所分配的账号名和密码，以及账号限速绑定MAC等配置，如图所示：

    至此，服务端设置一个PPPoE账号的配置就结束了。 

    HiPER PPPoE Client端配置步骤：

    Windows XP 是微软目前使用最广泛的操作系统，其功能上已经集成了PPPoE协议支持，所以对使用HiPER PPPoE Server接入的用户端不需要安装任何其他PPPoE软件，直接使用Windows XP的连接向导就可以轻易地建立自己的PPPoE客户端拨号程序，由于与操作系统的紧密结合，使用上也更加方便。

    1、    安装好硬件以后，我们从开始菜单中选择运行Windows XP连接向导

    （开始->所有程序->附件->通讯->新建连接向导）

    2、    连接向导运行以后，如下图所示，直接点击下一步 

    3、然后我们选择“连接到Internet”

    4、在这里选择“手动设置我的连接”

    5、在这里我们选择“用要求用户名和密码的宽带连接来连接”

    6、在要求输入连接名的时候，输入自己设置的连接标示名称

    7、然后输入自己的登陆账号信息（用户名和密码）并根据向导的提示对这个上网连接进行Windows XP的其他一些安全方面设置

    8、至此我们的客户端虚拟拨号设置就完成了

    以后我们可以从“开始->连接到”来选择这个虚拟拨号文件连接PPPoE上网了。

    实现开机自动上网：

    1、    桌面上新建一个“adsl.txt”的文本文件，按照以下格式进行编辑：

    “RasDial 连接名称用户名密码”

    2、将该“adsl.txt”的文本文件后缀名称改为批处理格式“adsl.bat”

    通过把桌面上批处理“adsl.bat”拖放到“开始->程序->启动”选项，还可以实现PC开机自动拨号上网。

方案四：

    酒店使用可做端口隔离（支持802.1 QVLAN协议的交换机）房间的端口和交换机端口绑定，并且每个端口应该是独立的VLAN，然后交换机的汇聚口连接路由器的LAN口，这样的话也可以减轻ARP欺骗对内网其他PC的欺骗。

方案五：

    可使用HiPER路由器WEB页面—高级配置—特殊管理页面划分虚拟局域网的功能，将内网按楼层或按办公与客房的区别，将之划分为多个VLAN，使之不能互相访问，以此来尽可能的减轻ARP欺骗所带来的网络问题。

    HiPER路由器该功能启用位置（WEB页面—高级配置—特殊功能）：

总结：

    鉴于ARP病毒在相当长的时间内还会继续存在，无法彻底消失（当然也考虑到其它病毒或攻击的存在），所以一个局域网，尤其是一个酒店的局域网，要保持长期的网络稳定，建议还是要将每个房间设为固定的IP地址，并对其房间所分的IP地址进行登记、留存，这样如果再发生网络异常的时候，也能够通过HiPER路由器快速的查找到相关病毒主机对其进行处理。

    建议可在每个房间网线接口旁边放一个打印有如下内容的卡片：

    1、该房间所分配的IP地址及如何设置这个IP地址；

    2、如何从酒店服务器的共享文件夹中下载已经建好的ARP绑定批处理文件；

    3、何时使用该文件，该文件的操作方法。

    艾泰科技全体员工，借此机会向广大酒店行业的工作人员拜年，祝大家在虎年春节黄金生意期间，生意红火，财源广进！