一、组网需求

        防止企业内部出现ARP攻击,造成网络无法正常访问。

 

二、网络拓扑

       

         

         内网的PC IP:192.168.1.10/24 网关地址:192.168.1.99

     

三、配置要点

  1、定义VIP

  2、利用VIP来广播免费arp

  3、在电脑上进行网关arp绑定

四、操作步骤

  1、定义VIP

       进入:  防火墙--虚拟IP--虚拟IP, 点击新建。

                

2、利用VIP来广播免费arp

     FortiGate  # config firewall vip

     FortiGate (vip) # edit Gratuitousarp_99

     FortiGate (Gratuitousarp_99) # set gratuitous-arp-interval 10          //免费arp发送的间隔,单位秒

     FortiGate (Gratuitousarp_99) # end

3、在电脑上进行网关arp绑定

     arp -s 192.168.1.99  00-09-0f-d8-a2-c4

       

五、验证效果

通过抓包工具可以看到内网口不停的发送免费arp,来防止arp欺骗。

       

img_18166.jpg img_22912.jpg 2019-01-25_161003.png