- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
23-ARP
本章节下载 (615.54 KB)
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。APR就是实现这个功能的协议。
ARP报文分为ARP请求和ARP应答报文,报文格式如图1-1所示。
图1-1 ARP报文结构
l 硬件类型:表示硬件地址的类型。它的值为1表示以太网地址。
l 协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址。
l 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4。
l 操作类型(OP):1表示ARP请求,2表示ARP应答。
l 发送端MAC地址:发送方设备的硬件地址。
l 发送端IP地址:发送方设备的IP地址。
l 目标MAC地址:接收方设备的硬件地址。
l 目标IP地址:接收方设备的IP地址。
假设主机A和B在同一个网段,主机A要向主机B发送信息。如图1-2所示,具体的地址解析过程如下:
(1) 主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2) 如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。
图1-2 ARP地址解析过程
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。
设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址到MAC地址的映射表项,以用于后续到同一目的地报文的转发。
ARP表项分为动态ARP表项和静态ARP表项。
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口down时会删除相应的动态ARP表项。
静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
静态ARP表项分为短静态ARP表项和长静态ARP表项。
l 在配置长静态ARP表项时,除了配置IP地址和MAC地址项外,还必须配置该ARP表项所在VLAN和出接口。长静态ARP表项可以直接用于报文转发。
l 在配置短静态ARP表项时,只需要配置IP地址和MAC地址项。如果出接口是三层以太网接口,短静态ARP表项可以直接用于报文转发;如果出接口是VLAN虚接口,短静态ARP表项不能直接用于报文转发,当要发送IP数据包时,先发送ARP请求报文,如果收到的响应报文中的源IP地址和源MAC地址与所配置的IP地址和MAC地址相同,则将接收ARP响应报文的接口加入该静态ARP表项中,之后就可以用于IP数据包的转发。
l 一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
l 当希望设备和指定用户只能使用某个固定的IP地址和MAC地址通信时,可以配置短静态ARP表项,当进一步希望限定这个用户只在某VLAN内的某个特定接口上连接时就可以配置长静态ARP表项。
在导航栏中选择“高级配置 > ARP管理 > ARP表”,进入如图1-3所示的页面。页面显示所有ARP表项的信息。
在导航栏中选择“高级配置 > ARP管理 > ARP表”,进入如图1-3所示的页面。单击<新建>按钮,进入新建静态ARP表项的配置页面,如图1-4所示。
静态ARP表项的详细配置如表1-1所示。
表1-1 静态ARP表项的详细配置
|
配置项 |
说明 |
|
|
IP地址 |
设置静态ARP表项的IP地址 |
|
|
MAC地址 |
设置静态ARP表项的MAC地址 |
|
|
高级选项 |
VLAN ID |
设置静态ARP表项所属的VLAN和接口名称
指定的VLAN ID必须是已经创建好的VLAN的ID,且指定的接口必须属于这个VLAN;指定的VLAN ID对应的VLAN接口必须已经创建 |
|
端口 |
||
|
VPN实例 |
设置静态ARP表项所属的VPN实例的名称 |
|
此模块的支持情况与设备的具体型号有关,请以设备的实际情况为准。
在导航栏中选择“高级配置 > ARP管理 > 动态表项管理”,进入如图1-5所示的页面。
l 单击<禁止所有接口学习>按钮,可以禁止列表中所有接口学习动态ARP表项。
l 在列表中选中接口前的复选框,单击<禁止选中接口学习>按钮,可以禁止选中的接口学习动态ARP表项。
l 单击<允许所有接口学习>按钮,可以允许列表中所有接口学习动态ARP表项。
l 在列表中选中接口前的复选框,单击<允许选中接口学习>按钮,可以允许选中的接口学习动态ARP表项。
l
在列表中单击某接口对应的
图标,进入如图1-6所示的页面,可以修改接口允许学习动态ARP表项的最大数目。当最大学习个数指定为0时,表示禁止接口学习动态ARP表项。
在列表显示页面中通过按钮设置允许接口学习动态ARP表项后,接口允许学习ARP表项的数目将恢复为缺省值。接口允许学习ARP表项数目的缺省值与接口的具体类型有关,请以实际情况为准。
l Router A连接主机,通过接口Ethernet0/1连接Router B。接口Ethernet0/1属于VLAN 10。
l Router B的IP地址为192.168.1.1/24,MAC地址为00e0-fc01-0000。
为了增加Router A和Router B通信的安全性,可以在Router A上配置静态ARP表项。
图1-7 静态ARP配置组网图
# 创建VLAN 10和Vlan-interface10。
l 在导航栏中选择“接口配置 > LAN设置”,默认进入“VLAN设置”页签的页面,进行如下配置,如图1-8所示。
图1-8 创建VLAN 10和Vlan-interface10
l 选中“创建”前的单选按钮。
l 输入VLAN编号为“10”。
l 选中“创建VLAN接口”前的复选框。
l 单击<应用>按钮完成操作。
# 配置将接口Ethernet0/1加入VLAN 10。
图1-9 将接口Ethernet0/1加入VLAN 10
l 如图1-9所示,在“VLAN设置”页面的下半部分选择VLAN ID为“10”。
l 在列表中选中接口“Ethernet0/1”。
l 单击<添加>按钮,弹出配置进度对话框,如图1-10所示。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置Vlan-interface10的IP地址。
l 单击“VLAN接口设置”页签,进行如下配置,如图1-11所示。
l 选择VLAN为“10”。
l 输入IP地址为“192.168.1.2”。
l 输入子网掩码为“255.255.255.0”。
l 单击<确定>按钮完成操作。
# 配置静态ARP表项。
l 在导航栏中选择“高级配置 > ARP管理 > ARP表”,单击<新建>按钮,进行如下配置,如图1-12所示。
l 输入IP地址为“192.168.1.1”。
l 输入MAC地址为“00e0-fc01-0000”。
l 选中“高级选项”前的复选框。
l 输入VLAN ID为“10”。
l 选择端口为“Ethernet0/1”。
l 单击<确定>按钮完成操作。
# 查看配置的静态ARP表项信息。
l 完成上述配置后,页面跳转回ARP表的显示页面。选择查询项为“类型”。
l 输入关键字为“静态”。
l 单击<查询>按钮,可以查看到Router A上的静态ARP表项,如图1-13所示。
图1-13 查看配置的静态ARP表项信息
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送者IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。
设备通过对外发送免费ARP报文来实现以下功能:
l 确定其它设备的IP地址是否与本机IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
l 设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。
使能了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(源IP地址、源MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文源IP地址对应的ARP表项:
l 如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项;
l 如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。
关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。
在导航栏中选择“高级配置 > ARP管理 > 免费ARP”,进入如图1-14所示的页面。
免费ARP的详细配置如表1-2所示。
表1-2 免费ARP的详细配置
|
配置项 |
说明 |
|
关闭学习免费ARP报文 |
设置关闭免费ARP报文学习功能 |
|
收到非同一网段ARP请求时发送免费ARP报文 |
设置使能收到非同一网段ARP请求时发送免费ARP报文功能 |
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行检测和解决。
下面将详细介绍一下这些技术的原理以及配置。
免费ARP定时发送功能可以及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:
(1) 防止仿冒网关的ARP攻击
如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量,被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。
为了尽量避免这种仿冒网关的ARP攻击,可以在网关的接口上使能免费ARP定时发送功能。使能该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。
(2) 防止主机ARP表项老化
在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而被老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。
为了解决上述问题,可以在网关的接口上使能免费ARP定时发送功能。使能该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。
(3) 防止VRRP虚拟IP地址冲突
当网络中存在VRRP备份组时,需要由VRRP备份组的Master路由器周期性的向网络内的主机发送免费ARP报文,使主机更新本地ARP地址表,确保网络中不会存在与VRRP虚拟IP地址相同的设备。
由于用户可以设定VRRP虚拟IP地址和MAC地址对应关系,因此有以下两种情况:
l 如果当前VRRP虚拟IP地址和虚拟MAC地址对应,则免费ARP报文中的源MAC地址为VRRP虚拟路由器对应的虚拟MAC地址。
l 如果当前VRRP虚拟IP地址和实际MAC地址对应,则免费ARP报文中的源MAC地址为VRRP备份组中Master路由器接口的MAC地址。
(4) 及时更新模糊终结VLAN内设备的MAC地址表
三层以太网子接口上同时配置了模糊终结多个VLAN和VRRP备份组时,为了避免发送过多的VRRP通告报文,需要关闭VLAN终结支持广播/组播功能,并配置VRRP控制VLAN。此时,为了及时更新各个模糊终结VLAN内设备的MAC地址表项,可以在三层以太网子接口上使能免费ARP定时发送功能。使能该功能后,三层以太网子接口将按照配置的时间间隔周期性发送VRRP虚拟IP地址、接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,当VRRP主备状态切换时,各个模糊终结VLAN内设备上可以及时更新为正确的MAC地址表项。
在导航栏中选择“高级配置 > ARP防攻击 > 免费ARP定时发送”,进入如图2-1所示的页面。
图2-1 免费ARP定时发送
免费ARP定时发送功能的详细配置如表2-1所示。
表2-1 免费ARP定时发送功能的详细配置
|
配置项 |
说明 |
|
定时发送接口 |
设置定时发送免费ARP报文的接口和发送间隔时间 在“待选接口”框中选中要设置的接口,指定发送间隔时间,单击“<<”按钮,可将设置添加到“定时发送接口”框中;在“定时发送接口”框中选中接口和发送间隔时间的组合,单击“>>”按钮,可将其从“定时发送接口”框中删除
l 设备最多允许同时在1024个接口上使能定时发送免费ARP功能 l 配置免费ARP定时发送功能后,只有当接口链路Up并且配置IP地址后,此功能才真正生效 l 如果修改了免费ARP报文的发送间隔时间,则在下一个发送周期才能生效 l 如果同时在很多接口下使能本功能,或者每个接口有大量的从IP地址,或者两种情况共存的同时又配置很小的发送间隔时间,那么免费ARP报文的发送频率可能会远远低于用户的预期 l 不要在配置了VRRP备份组的接口下使能免费ARP定时发送功能 |
ARP自动扫描功能一般与ARP固化功能配合使用:
l 启用ARP自动扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。
l ARP固化功能用来将当前的ARP动态表项(包括ARP自动扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效的防止攻击者修改ARP表项。
推荐在网吧这种环境稳定的小型网络中使用这两个功能。
l 建议用户在ARP自动扫描期间不要进行其他操作。
l ARP自动扫描操作可能比较耗时,用户可以通过单击页面中的<中止>按钮来终止扫描。
在导航栏中选择“高级配置 > ARP防攻击 > 扫描”,进入如图2-2所示的页面。
ARP自动扫描功能的详细配置如表2-2所示。
表2-2 ARP自动扫描功能的详细配置
|
配置项 |
说明 |
|
接口 |
设置进行ARP自动扫描的接口 |
|
开始IP地址 |
设置ARP自动扫描区间的开始IP地址和结束IP地址 l 如果用户知道局域网内邻居分配的IP地址范围,指定了ARP自动扫描区间,则对该范围内的邻居进行扫描,减少扫描等待的时间。如果指定的扫描区间同时在接口下多个IP地址的网段内,则发送的ARP请求报文的源IP地址选择网段范围较小的接口IP地址 l 如果不指定ARP自动扫描区间的开始IP地址和结束IP地址,则仅对接口下的主IP地址网段内的邻居进行扫描。其中,发送的ARP请求报文的源IP地址就是接口的主IP地址
l 开始IP地址和结束IP地址必须同时设置或同时不设置 l 开始IP地址和结束IP地址必须与接口的IP地址(主IP地址或手工配置的从IP地址)在同一网段,且开始IP地址必须小于或等于结束IP地址 |
|
结束IP地址 |
|
|
对已存在ARP表项的IP地址也进行扫描 |
设置是否对已存在ARP表项的IP地址也进行ARP自动扫描 |
完成上述配置后,单击<开始>按钮,即可开始进行ARP自动扫描;单击<中止>按钮,即可中止扫描。
l 固化后的静态ARP表项与配置产生的静态ARP表项完全相同。
l 固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制,由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化。
l 如果用户执行固化前有D个动态ARP表项,S个静态ARP表项,由于固化过程中存在动态ARP表项的老化或者新建动态ARP表项的情况,所以固化后的静态ARP表项可能为(D+S+M-N)个。其中,M为固化过程中新建的动态ARP表项个数,N为固化过程中老化的动态ARP表项个数。
在导航栏中选择“高级配置 > ARP防攻击 > 固化”,进入如图2-3所示的页面。页面显示所有静态ARP表项(包括手工配置的和固化生成的)和动态ARP表项的信息。
l 单击<全部固化>按钮,可以将所有ARP表项固化为静态ARP表项,对于静态ARP表项不进行任何操作。
l 单击<解除全部固化>按钮,可以将所有静态ARP表项删除,对于非静态ARP表项不进行任何操作。
l 选中ARP表项前的复选框,单击<固化>按钮,可以将选中的动态ARP表项固化为静态ARP表项,对于选中的静态ARP表项不进行任何操作。
l 选中ARP表项前的复选框,单击<解除固化>按钮,可以将选中的静态ARP表项删除,对于选中的非静态ARP表项不进行任何操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
