ARP能否实现IP地址和MAC地址绑定

静态ARP能否实现IP地址和MAC地址绑定

静态ARP可以实现IP地址和MAC地址绑定，从而能够避免ARP表项被攻击者伪造的ARP报文错误更新，但静态ARP不能实现用户私自更改IP地址后不能访问外网的功能。当网络管理员需要实现用户私自更改IP地址后不能访问外网的功能，需要配置IPSG（IP Source Guard）功能。

实现IP地址和MAC地址绑定的功能还有动态ARP检测DAI（Dynamic ARP Inspection）和出口ARP检测EAI（Egress ARP Inspection），但四种功能具体应用的场景是不一样的，用户可以根据需要选择部署这些功能。

静态ARP

应用场景

对于以下场景，用户可以配置静态ARP表项。

• 对于网络中的重要设备，如服务器等，可以在交换机上配置静态ARP表项。这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新，从而保证用户与重要设备之间正常通信。

• 当网络中用户设备的MAC地址为组播MAC地址时，可以在交换机上配置静态ARP表项。缺省情况下，设备收到源MAC地址为组播MAC地址的ARP报文时不会进行ARP学习。

• 当希望禁止某个IP地址访问设备时，可以在交换机上配置静态ARP表项，将该IP地址与一个不存在的MAC地址进行绑定。

实现原理

静态ARP表项不会被老化，不会被动态ARP表项覆盖。用户可以通过arp static命令手工配置，也可以通过ARP自动扫描和固化的方式批量配置。

IPSG

应用场景

IPSG功能主要用于防止IP地址冒用的场景，例如希望实现用户私自更改IP地址后不能访问外网时可以配置此功能。

IP地址冒用指攻击者使用自己的MAC地址，但是冒用他人的IP地址进行通信，以获取被攻击者的权限或者本应发送给被攻击者的报文。

实现原理

IPSG功能是基于绑定表（DHCP动态和静态绑定表）对IP报文进行匹配检查。

设备在转发IP报文时，将IP报文中的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行比较（比较的内容用户可以根据需要进行配置，例如可以只将IP报文中的源IP地址和VLAN信息与绑定表的信息进行比较）：

• 如果信息匹配，表明是合法用户，则允许此IP报文正常转发。

• 否则认为是攻击报文，丢弃该IP报文。

配置IPSG功能时，用户可以执行命令user-bind static，配置静态绑定表。

DAI

应用场景

DAI功能主要用于防御中间人攻击的场景，避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新。

实现原理

DAI功能是基于绑定表（DHCP动态和静态绑定表）对ARP报文进行匹配检查。

设备收到ARP报文时，将ARP报文对应的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行比较（比较的内容用户可以根据需要进行配置，例如可以只将ARP报文中的源IP地址和VLAN信息与绑定表的信息进行比较）：

• 如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过。

• 否则就认为是攻击，丢弃该ARP报文。

配置DAI功能时，用户可以执行命令user-bind static，配置静态绑定表。

EAI

应用场景

EAI功能主要用于减少ARP请求报文的广播，降低ARP广播报文对网络造成的冲击，保证用户业务的正常运行。

实现原理

EAI功能是基于DHCP Snooping动态绑定表来确定ARP请求报文的出接口，将ARP请求报文进行转发，减少广播。

原文链接：https://support.huawei.com/enterprise/zh/doc/EDOC1100333837/f34f42a1