- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
12-ARP
本章節下載: 12-ARP (180.49 KB)
ARP(Address Resolution Protocol,地址解析協議)是將IP地址解析為以太網MAC地址(或稱物理地址)的協議。
設備通過ARP協議解析到目的MAC地址後,將會在自己的ARP表中增加IP地址和MAC地址映射關係的表項,以用於後續到同一目的地報文的轉發。
ARP表項分為兩種:動態ARP表項、靜態ARP表項。
為增強設備的安全性,係統提供了IP-MAC綁定功能,即在設備上建立IP地址與MAC地址的對應關係即IP-MAC綁定表項,並基於該表項實現報文的過濾控製。該功能適用於防禦主機仿冒攻擊,可有效過濾攻擊者通過仿冒合法用戶主機的IP地址或者MAC地址向設備發送的偽造IP報文。
動態ARP表項由ARP協議通過ARP報文自動生成和維護,可以被老化,可以被新的ARP報文更新,可以被靜態ARP表項覆蓋。當到達老化時間、接口狀態down時,係統會刪除相應的動態ARP表項。
動態ARP表項可以固化為靜態ARP表項,但被固化後無法再恢複為動態ARP表項。
為了防止部分接口下的用戶占用過多的ARP資源,可以通過設置接口學習動態ARP表項的最大個數來進行限製。
靜態ARP表項通過手工創建或由動態ARP表項固化而來,不會被老化,不會被動態ARP表項覆蓋。
配置靜態ARP表項可以增加通信的安全性。靜態ARP表項可以限製和指定IP地址的設備通信時隻使用指定的MAC地址,此時攻擊報文無法修改此表項的IP地址和MAC地址的映射關係,從而保護了本設備和指定設備間的正常通信。
在配置靜態ARP表項時,如果管理員希望用戶使用某個固定的IP地址和MAC地址通信,可以將該IP地址與MAC地址綁定;如果進一步希望限定用戶隻在指定VLAN的特定接口上連接,則需要進一步指定報文轉發的VLAN和出接口。
一般情況下,ARP動態執行並自動尋求IP地址到以太網MAC地址的解析,無需管理員的介入。
IP-MAC綁定表項可以通過手工配置和批量生成兩種方式進行創建。
· 手工配置綁定表項是指通過手工方式逐條配置IP-MAC綁定表項。該方式適用於局域網絡中主機較少的情況。
· 批量生成綁定表項是指通過指定接口下的ARP表項生成對應的IP-MAC綁定表項。該方式適用於局域網絡中主機較多的情況。
配置IP-MAC綁定表項可以增加通信的安全性。設備收到報文後,提取報文頭中的源IP地址和源MAC地址,並與IP-MAC綁定表項進行匹配。如果源IP地址和源MAC地址與IP-MAC綁定表項一致,則轉發該報文;如果不一致,則認為該報文是非法報文,並將其丟棄。對於IP地址與MAC地址在IP-MAC綁定表項中都無匹配項的報文,則根據配置的缺省動作放行或丟棄。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
