侧边栏壁纸
  • 累计撰写 23 篇文章
  • 累计创建 68 个标签
  • 累计收到 0 条评论

目 录CONTENT

文章目录

ARP能否实现IP地址和MAC地址绑定

余上
2023-09-02 / 0 评论 / 0 点赞 / 126 阅读 / 0 字

静态ARP能否实现IP地址和MAC地址绑定

静态ARP可以实现IP地址和MAC地址绑定,从而能够避免ARP表项被攻击者伪造的ARP报文错误更新,但静态ARP不能实现用户私自更改IP地址后不能访问外网的功能。当网络管理员需要实现用户私自更改IP地址后不能访问外网的功能,需要配置IPSG(IP Source Guard)功能。

实现IP地址和MAC地址绑定的功能还有动态ARP检测DAI(Dynamic ARP Inspection)和出口ARP检测EAI(Egress ARP Inspection),但四种功能具体应用的场景是不一样的,用户可以根据需要选择部署这些功能。

静态ARP

应用场景

对于以下场景,用户可以配置静态ARP表项。

  • 对于网络中的重要设备,如服务器等,可以在交换机上配置静态ARP表项。这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新,从而保证用户与重要设备之间正常通信。

  • 当网络中用户设备的MAC地址为组播MAC地址时,可以在交换机上配置静态ARP表项。缺省情况下,设备收到源MAC地址为组播MAC地址的ARP报文时不会进行ARP学习。

  • 当希望禁止某个IP地址访问设备时,可以在交换机上配置静态ARP表项,将该IP地址与一个不存在的MAC地址进行绑定。

实现原理

静态ARP表项不会被老化,不会被动态ARP表项覆盖。用户可以通过arp static命令手工配置,也可以通过ARP自动扫描和固化的方式批量配置。

IPSG

应用场景

IPSG功能主要用于防止IP地址冒用的场景,例如希望实现用户私自更改IP地址后不能访问外网时可以配置此功能。

IP地址冒用指攻击者使用自己的MAC地址,但是冒用他人的IP地址进行通信,以获取被攻击者的权限或者本应发送给被攻击者的报文。

实现原理

IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。

设备在转发IP报文时,将IP报文中的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行比较(比较的内容用户可以根据需要进行配置,例如可以只将IP报文中的源IP地址和VLAN信息与绑定表的信息进行比较):

  • 如果信息匹配,表明是合法用户,则允许此IP报文正常转发。

  • 否则认为是攻击报文,丢弃该IP报文。

配置IPSG功能时,用户可以执行命令user-bind static,配置静态绑定表。

DAI

应用场景

DAI功能主要用于防御中间人攻击的场景,避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新。

实现原理

DAI功能是基于绑定表(DHCP动态和静态绑定表)对ARP报文进行匹配检查。

设备收到ARP报文时,将ARP报文对应的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行比较(比较的内容用户可以根据需要进行配置,例如可以只将ARP报文中的源IP地址和VLAN信息与绑定表的信息进行比较):

  • 如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过。

  • 否则就认为是攻击,丢弃该ARP报文。

配置DAI功能时,用户可以执行命令user-bind static,配置静态绑定表。

EAI

应用场景

EAI功能主要用于减少ARP请求报文的广播,降低ARP广播报文对网络造成的冲击,保证用户业务的正常运行。

实现原理

EAI功能是基于DHCP Snooping动态绑定表来确定ARP请求报文的出接口,将ARP请求报文进行转发,减少广播。

原文链接:https://support.huawei.com/enterprise/zh/doc/EDOC1100333837/f34f42a1

0
  1. 支付宝打赏

    qrcode alipay
  2. 微信打赏

    qrcode weixin
    1. 支付宝打赏

      qrcode alipay
    2. 微信打赏

      qrcode weixin

评论区