在启用DHCP的思科路由器上如何做ARP绑定

启用DHCP的思科路由器上做ARP绑定方法：

1、进入路由器：打开浏览器-输入19216811(一般路由器地址是这个)进路由器登录界面。
2、输入正确的用户名和密码进入路由器管理后台。
3、我们要先查看已有的IP和对应在的MAC地址栏。点击左侧的“DHCP服务器”，选择“客户端列表”，记下右边显示的对应的IP和MAC地址，这个一定要记正确。

4、再点击左侧的“静态地址分配”链接，在右边点击“添加新条目”按钮。

5、在右边输入正确的对应的MAC和IP地址，再将“状态”选择为“生效”，再单击“保存”按钮保存。

命令式
#show arp
这个可以查看你的所有arp列表
看这个 一般你是看不出来的
我建议你瞧一下
show ip int bri 看看端口状态列表
如果路由器的网段和你的PC机不在同一个网段 记得加一条路由
0000 0000 接下一条的IP地址
加一条缺省路由以后应该就可以了
同时别忘了加一个网关
因为 二层找路由 先找的网关 没有网关 你过不去的

望采纳 给个最佳答案呗！ 谢谢！
如果有问题可以随时给我发邮件djk245@vipqqcom
专业网络工程师竭诚为您服务！

交换机连接两台PC（A和B），最初的时候他们都在一个vlan1内，分别配置IP地址 1721612/16和1721622/16 ，均未配置网关，此时可以Ping同对方。

将A加入vlan1 ，vlanif配IP：1721611/24。

将B加入vlan2 ，vlanif配IP：1721621/24，此时ApingB是ping不通的。

没有配置网关也没有配置代理ARP，所以ping不通。

当配置上两个端口的代理ARP，此时发现还是Ping不同。

此时查看了A的ARP表，发现表中记录1721622的MAC地址是B的地址。A发出去的包中封装的MAC地址是B的，当vlanif收到该帧时，会丢弃该报文。

将A的ARP表清空（arp –d），此时再pingB，发现可以Ping通了，A中记录的关于1721622的MAC地址已经是vlanif1 的MAC了。即为arp代理开启。

代理ARP是ARP协议的一个变种。 对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。

ARP代理有三种：路由式Proxy ARP、VLAN内Proxy ARP、VLAN间Proxy ARP，这三种代理的配置命令分别是arp-proxy enable、arp-proxy inner-sub-vlan-proxy enable、arp-proxy inter-sub-vlan-proxy enable。每种代理功能在相应的场景下才生效。
l 路由式Proxy ARP
设备接收arp请求报文，目的ip地址和入接口配置的ip地址不在同一个网段，但是设备上存在到这个ip地址的路由，路由出接口和入接口不是同一个接口，这种情况下接口配置的路由式arp代理功能生效，设备将用自己的MAC地址作为源，回复arp应答报文。
l VLAN内Proxy ARP
设备接收arp请求报文，目的ip地址和入接口配置的IP地址在同一个网段，此时接口配置的vlan内arp代理功能起作用。
l VLAN间Proxy ARP
和vlan内的arp代理功能类似，应用在super-vlan下才有意义，实现跨vlan的代理。设备接收arp请求报文，目的ip地址和入接口配置的IP地址在同一个网段，此时接口配置的vlan间代理功能起作用，但是如果目的端本来和源端就是在同一个vlan内，不做代理。
无论哪种代理，都要求arp请求报文的源IP和接口地址在同一个网段。
通常使用的arp代理功能是vlan内的代理，因此，应该配置命令arp-proxy inner-sub-vlan-proxy enable，而不是arp-proxy enable命令。

楼上说“首先，你要理解ARP请求的原理。 ARP是通过广播发送请求的对吧 。那么 ，路由是上是传播ip地址的。路由代理是通过重新封装mac地址来转发数据的。 网关和路由做转换是同一个道理啦 ”
补充两句：
首先，ARP请求只会请求自己本网段的，不是本网段的所有报文都会发送到默认网关
（或者其他地址，要看路由表上怎么写的）
所谓ARP就是获取IP地址对应的mac地址（IP是网络层的，mac是链路层的）
实际上载不同网段里，你的PC机不会发送不同网段的ARP请求，而是将这个报文直接发给网关，由网关（网关很可能就是一台路由器）来处理。
网关会判断，如果这个地址是它直连的，那么他会发送ARP请求（但是这些 *** 作，PC机已经不知道了，它也没必要知道。），如果不是，网关会将报文扔给它自己的网关（其实是要先查路由表的哦~~）

路由器
有些是带防火墙功能，，有些是没防火墙攻能，，
绑定mac只是路由器功能之一，并不属防火墙。
以前产的大部份路由器跟防火墙大多是分开的，
现在基本来两个都连在一起了，，
所以，一般的路由器是没防火墙的，，

破解网络执法官限制
网络执法官简介
我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocopexe，它可以穿透防火墙、实时监控、记录整个局域网用户上线情况，可限制各用户上线时所用的IP、时段，并可将非法用户踢下局域网。该软件适用范围为局域网内部，不能对网关或路由器外的机器进行监视或管理，适合局域网管理员使用
在代理服务器端
捆绑IP和MAC地址，解决局域网内盗用IP：
ARP －s 1921681059 00－50－ff－6c－08－75
解除网卡的IP与MAC地址的绑定：
arp -d 网卡IP

在网络邻居上隐藏你的计算机
net config server /hidden:yes
net config server /hidden:no 则为开启
在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在d出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。
二、ARP欺骗的原理
网络执法官中利用的ARP欺骗使被攻击的电脑无法上网，其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢？知其然，知其所以然是我们《黑客X档案》的优良传统，下面我们就谈谈这个问题。
首先给大家说说什么是ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。
ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。
网络执法官利用的就是这个原理！知道了它的原理，再突破它的防线就容易多了。
三、修改MAC地址突破网络执法官的封锁
根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：
在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 210
41 based Ethernet Controller），在这里假设你的网卡在0000子键。
在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。
在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network
Address的描述，其值可为"MAC Address"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。
关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。
MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。
另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。
四、找到使你无法上网的对方
解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller（图2），然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP（图3），单击"开始检测"就可以了。
检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。
扫描时自己也处在混杂模式，把自己不能算在其中哦！
找到对方后怎么对付他就是你的事了，比方说你可以利用网络执法官把对方也给封锁了！
-----------------------------------------------------------------------------------------------------------------------------
运 行 机 制
本软件以各主机的网卡号来识别用户，通过收发底层数据包来监控用户，占用网络资源极少；在软件刚启动的前90秒内，有数量较多的数据包收发，并会占用较多的CPU资源，属正常现象。
本软件以用户权限为核心，管理员设置各用户权限后，软件即依各用户的权限进行自动管理。
为保证管理员对用户的正常管理，及防止非法用户利用本软件攻击管理员，除了禁止管理"友邻主机"外，本软还设置了"友邻用户"相互发现机制，即同一局域网中，所有运行本软件的用户（友邻用户）都可以相互发现（参见名词解释"友邻用户"）。注意，本软件20以前版本（包括专用检测版）不能检测到20以后版本，只有运行20以后版本，才能发现所有的友邻用户。
本软件还采用了分级机制，同一局域网中，低级别的用户将自动停止运行本软件。总的来说，注册用户级别高于未注册用户，某些新版本的级别高于以前版本。最新的注册版本，总是拥有最高级别。
查看帮助文件发现：
14、怎样防止网络中用户非法使用本软件？
软件中特别设置了"友邻用户"的相互发现功能。"友邻用户"不能相互管理，使管理员免受非法用户攻击，而且不需注册也能发现其他正在使用本软件的用户，也可以在软件自带的"日志"中查看友邻用户的记录。普通用户无力解决其他用户滥用的问题，请与网络管理员联系。
原来安装和对方一样的版本，对方就不能控制你了。版本高的权限大于版本低的。
在网上浏览了一下，发现还可以用arp欺骗的方式，方法是打开dos窗口，输入以下命令：
arp -s 192168124 dd-dd-dd-dd-dd-dd
apr -a
其中192168124是自己的ip地址。这是把自己的物理地址给改了。 详细的自己看>