路由器设置ARP绑定问题，

如果新来用户是可以上网的，除非关闭路由器的ARP表自动学习功能

已经绑定的IP,如果把MAC地址改掉是不能上网的，除非IP与MAC一起修改，这样就相当于新用户接入，单纯的改掉任意一个都是不能上网的~~

小型局域网建议关掉路由器的ARP表自动学习功能，这样只有绑定列表内的机器可以与路由器通讯，其他主机一律不响应，PING都不通，这样安全性比较高~~

不过一般路由没有关闭ARP表学习功能....

双绑是对付ARP攻击最好的办法，也是成本最低的办法，什么ARP防火墙都是白搭，因为防火墙只是防御本机，对路由器丝毫没有防御，而且防火墙阻断攻击环，本来攻击环不断你还可以从伪代理上网，攻击环断了反而上不去了，双绑的方法在我空间里面有，自己看吧~~~~~~

静态ARP绑定的大前提就是PC使用固定的IP，动态IP其实就是从网络获取，而只要是从网络获取的IP都有可能受到攻击，一个数据包就能修改你的IP所以固定IP是大前提！而固定IP是用户手工指定的，权限最高，PC不会响应网络上的DHCP广播，安全性最高！如果有可能在路由器上使用静态ARP表还能提高网络安全，即路由器的ARP表是手工维护，除了手工添加的ARP信息，路由器不响应任何其他IP的数据包，这样安全性可以提高很多，基本上搞定ARP，但是还是无法完全根绝ARP攻击，因为路由和PC的互绑仅仅保证了上网的安全，但是PC间的通讯无法保证，不过现在的ARP病毒对PC间通讯不感兴趣，要想完全根除ARP就要使用其他的通讯协议，比如ppp，带用户名密码的访问协议，这种是经过验证的，安全性比DHCP高很多，DHCP只能算是个简单的IP/MAC验证，要不受攻击就没天理了，还有一种方法就是在交换机端口限制IP/MAC，即PC接交换机的端口绑定对应的IP/MAC，这样任何虚假的，欺骗包连交换端口都出不去，也算根除ARP！

交换机端口限制IP/MAC 首先要使用可网管的交换机，普通的傻瓜交换机是不行的，另外就是交换机必须带有端口 IP/MAC 绑定功能，不过可网管的交换机一般都有，在端口绑定IP/MAC的坏处就是，机器不能随便换端口，一旦更换端口就需要重新绑定，否则无法连接！不过现在高端的思科华为都有更高级的绑定策略，比如计算单位时间内的IP/MAC信息，以最多的IP/MAC为主，自动绑定！当然还有更多的策略，具体的可以百度查询！

---