请教各位：我这样能防止ARP欺骗吗？

laoQ

各位走过路过的朋友、大侠、小侠，指点指点一下本菜。
近来被ARP欺骗搞得头疼，
翻了N多论坛内的帖子，得知低成本解决ARP欺骗的方法——PPOE
因此有如下想法：
ros配置成PPOE拨号服务器，
内网卡不设置IP，但开启DHCP服务器，
给客户机分配内网IP地址，DNS服务器地址，但不分配网关地址
客户机进行PPOE拨号后，如果中了ARP病毒，它的ARP广播包会向内网广播吗？别的机器能收到这样广播包吗？
如果别的机器能收到假的ARP广播包，会不会影响到内网通讯？
这样的上网方式，还会不会出现因为ARP欺骗导致整个网络断线的情况？


注：
实在没有好的办法解决，
智能或三层交换机成本太高。。
路由及客户机双向绑定不太现实，
我这里的网络不像网吧，
类似于小区宽带，
路由绑定倒是很容易，客户机绑定很难操作，
首先客户机不好配置什么启动绑定批处理文件，毕竟那是人家的机器，要是客户机重装系统后还得重新绑定。
其次客户机数量也较多，逐一绑定网关MAC工作量大，而且新增机器后也得配置，比较麻烦。


谢谢

网络-浪子

pppoe确实能解决ARP攻击问题，因为它不存在ARP。
ARP欺骗对同网段间的内网访问好像是没有影响的？

zooyo

完全能解决。

kydd

想法没有错啊！大胆去做吧。ARP是没有路由概念的，放心吧。

zooyo

设置MSS没有，DNS如何

laoQ

zooyo超版能再次关注，真的是非常感谢。

经过两天的测试，ARP导致整网断线的情况已经没有了，
但是还会出现网页打不开的现象。

回复zooyo超版：
客户机DNS为：采用DHCP分配ISP提供的地址方式设置，因为不定时出现网页打不开，应该不是DNS设置方面问题。
至于MSS，我在IP－firewall－mangle里面是空的，没有设置，是不是需要自己手动添加？
各个网卡的MTU采用默认的1500，未更改过。

搜索了论坛上的帖子后，自己测试了一下ISP提供的光纤线路MTU值，
直接从连接光纤的协议转换器的RJ45接口接入电脑，采用“ping 外网网关 -l 包大小” 的命令方式测试，
最大的包为1472，再大就提示Request time out.
我的问题是否跟这个值有关？
而且采用协议转换器的RJ45接口接入电脑上网的方式是一直都不会出现网页打不开的现象。


说明一下，
我的ROS服务器WAN网卡是固定的IP，
设置了两张内网网卡，一张是提供给固定IP上网的，一张是作为客户机PPOE接入。
无论客户机采用PPOE还是固定IP方式上网，均会时不时出现网页打不开的的现象，过一段时间后会恢复。
但是QQ未提示掉线。

[ 本帖最后由 laoQ 于 2007-4-3 19:44 编辑 ]

qsjx1

楼主，我的网络环境跟你一模一样，只不过我只用了一种（PPPOE），没有用固定IP让客户机上网，我的也会出现打开网页慢（目前只发现tom的首页打开慢），没有出现打不开的现象，但如果改用固定IP上网，则打开tom的首页很快，参考了坛子里改MSS的贴子试过，都没有什么效果，所以只好作罢，请各位高手支招。