赞
踩
ARP作用:将IP地址解析为以太网MAC地址。
ARP报文结构:
特点
同网段通信
跨网段通信
一次路由,多次交换,源目ip不变,源目MAC逐跳变, ARP帮助路由打通下一跳
静态ARP表项
静态ARP表项通过手工配置和维护不会老化,不会被动态ARP表项覆盖
短静态ARP表项
在配置静态ARP表项时,除了配置IP地址和MAC地址外,还必须配置ARP表项所在VLAN和出接口。
长静态ARP表项
在配置短静态ARP表项时,只需要配置IP地址和MAC地址项。如果出接口是三层以太网接口,短静态ARP表可以直接用于报文转发,如果出接口是VALN虚接口,短静态ARP表项不能直接用于报文转发,当要发送IP数据包时,先发送ARP请求报文 ,如果收到响应报文中的IP源地址和源MAC地址与配置的IP地址和MAC地址相同,则将接受ARP响应报文的接口加入静态ARP表项中,之后用于IP数据包的转发。
动态ARP表项
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的
ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口down时会删除相应的动态ARP表项。(缺省老化时间120s)
普通代理ARP
启用代理ARP之后,Router可以应答Host A的ARR请求。同时Router相当于Host B的代理,把从其他主机发送过来的报文转发给他
代理ARP可以只被应用在一个设备上(作用相当于网关)不会影响到网络中其他设备的路由表。代理ARP功能可以在IP主机没有配置缺省网关或者IP主机没有任何路由能力的情况下使用
静态路由的下一跳和出接口的区别
出接口
不开代理ARP:无法进行通信
开代理ARP:(出口路由器)会产生大量的ARP条目对设备CPU和表项压力过大。
下一跳IP:无论多少个人上网,ARP请求只有一个。
如何判断是否为免费ARP:
当ARP报文中Target IP和Sender IP一样时即为免费ARP。
若存在ARP表项:设备会根据免费ARP报文中携带的信息来更新对应的ARP表项。
若不存在ARP表项:设备会根据该免费ARP中携带的信息来新建ARP表项。
定时发送免费ARP功能的作用:
设备通过对外发送免费ARP报文来确定其他设备的IP地址是否与本机IP地址冲突,当其他的设备收到免费ARP报文之后,如果发现报文中的IP地址和自己的IP地址相同,则会给发送免费ARP的设备发送一个arp应答,告知该设备IP地址冲突。若设备改变了硬件地址,通过发送免费arp报文来通知其他设备更新arp表项。
ARP表变化
arp request报文更新ARP表的条件: arp报文中target IP为自己,且用arp报文中的sender IP和sender MAC地址来更新自己的ARP表。
arp reply报文更新ARP表的条件:arp报文中target IP是自己,且arp表中存在sender ip的表项,用arp报文中的sender IP和sender MAC来更新自己的ARP表。
免费ARP报文更新ARP表的条件:免费arp是一种特殊的arp request/reply报文即senderIP和target IP一致。当arp表中已经存在target IP/MAC表项,用ARP中的sender IP和sender MAC来更新自己的ARP表。
ARP广播
ARP Request
ARP Reply
接入设备攻击防范:
针对仿冒网关攻击
对arp报文的合法性进行检查,如果合法则进行后续处理,如果非法直接丢弃报文。
针对仿冒用户攻击
对arp报文的合法性进行检查,如果合法则进行后续处理,如果非法直接丢弃报文。
针对ARP泛洪攻击:ARP报文限速功能
网关设备攻击防范
针对仿冒网关攻击
通过合法方式建立正确的ARP表项,并阻止攻击者修改
动态学习ARP表前进行确认,保证学习到的是真实的正确的映射关系。
针对ARP泛洪攻击
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。