• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-网络

目录

10-ARP

本章节下载 10-ARP  (188.50 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_WCG(V7)/05/202202/1553481_30005_0.htm

10-ARP

ARP

 

本帮助主要介绍以下内容:

·     特性简介

¡     地址解析协议

¡     IP-MAC绑定表项

特性简介

地址解析协议

ARPAddress Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。

设备通过ARP协议解析到目的MAC地址后,将会在自己的ARP表中增加IP地址和MAC地址映射关系的表项,以用于后续到同一目的地报文的转发。

ARP表项分为两种:动态ARP表项、静态ARP表项。

动态ARP表项

动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口状态down时,系统会删除相应的动态ARP表项。

动态ARP表项可以固化为静态ARP表项,但被固化后无法再恢复为动态ARP表项。

为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大个数来进行限制。

静态ARP表项

静态ARP表项通过手工创建或由动态ARP表项固化而来,不会被老化,不会被动态ARP表项覆盖。

配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。

在配置静态ARP表项时,如果管理员希望用户使用某个固定的IP地址和MAC地址通信,可以将该IP地址与MAC地址绑定;如果进一步希望限定用户只在指定VLAN的特定接口上连接,则需要进一步指定报文转发的VLAN和出接口。

一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。

IP-MAC绑定表项

为增强设备的安全性,系统提供了IP-MAC绑定功能,即在设备上建立IP地址与MAC地址的对应关系即IP-MAC绑定表项,并基于该表项实现报文的过滤控制。该功能适用于防御主机仿冒攻击,可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文。

IP-MAC绑定表项可以通过手工配置和批量生成两种方式进行创建。

·     手工配置绑定表项是指通过手工方式逐条配置IP-MAC绑定表项。该方式适用于局域网络中主机较少的情况。

·     批量生成绑定表项是指通过指定接口下的ARP表项生成对应的IP-MAC绑定表项。该方式适用于局域网络中主机较多的情况。

配置IP-MAC绑定表项可以增加通信的安全性。设备收到报文后,提取报文头中的源IP地址和源MAC地址,并与IP-MAC绑定表项进行匹配。如果源IP地址和源MAC地址与IP-MAC绑定表项一致,则转发该报文;如果不一致,则认为该报文是非法报文,并将其丢弃。对于IP地址与MAC地址在IP-MAC绑定表项中都无匹配项的报文,则根据配置的缺省动作放行或丢弃。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们