FAQ-USG2200 DHCP静态分配IP地址,IP-MAC绑定,静态ARP的区别

发布时间:  2014-11-29 浏览次数:  572 下载次数:  0
问题描述
DHCP静态分配IP地址、IP-MAC绑定、静态ARP有哪些区别?
解决方案
DHCP静态分配IP地址、IP-MAC绑定、静态ARP这三个功能都涉及到IP地址和MAC地址的对应关系,但其应用场景及实现的功能有所不同


1,DHCP静态分配IP地址
      在DHCP组网环境中,当少数特定客户端(如各种服务器,访问权限较高的特定PC等)期望通过DHCP获取到固定IP地址时,可在DHCP服务器上配置静态分配IP地址。在DHCP服务器上配置静态分配IP地址后,当此MAC地址的客户端通过DHCP协议申请IP地址时,DHCP服务器会根据客户端MAC地址找到绑定的固定IP地址分配给客户端,保证特定主机可以使用该IP地址。

2,IP-MAC绑定
      IP-MAC绑定是安全特性中的一种。将IP与MAC地址绑定主要是为了防止IP地址冒用或者ARP欺骗等攻击行为的发生
IP地址冒用是指攻击者使用自己的MAC地址,但是冒用他人的IP地址进行通信,以获取被攻击者的权限或者本应发送给被攻击者的报文。配置IP-MAC地址绑定后,设备上建立IP地址与MAC地址的对应关系。设备在收到报文后,根据报文中的源IP地址查找关系表中相应的MAC地址,并且与帧头部包含的实际源MAC地址进行比较。如果两者不一致,则认为该报文是非法报文,并将其丢弃。

3,静态ARP
      静态ARP是指网络管理员手动配置的IP地址和MAC地址之间有固定的映射关系。配置静态ARP表项主要应用于以下情况:
    为了将目的IP地址不在本网段的报文,穿过本网段的某个网关,使得到该IP地址的报文能通过该网关进行转发
    当用户需要过滤掉一些非法的报文时,可以将这些非法报文的目的IP地址绑定到某个不存在的MAC地址。
    防止ARP flood等攻击。
配置静态ARP表项虽然可以保护ARP表不被改写,但是配置工作量大,不适用于主机IP地址可能发生更改的网络环境,建议在比较小的网络里使用。
对于网络中重要的服务器等设备,可以将其IP地址和MAC地址的映射关系配置为静态ARP表项。这种静态映射关系不但不能被伪造的ARP报文动态改写,而且同样会限制对非法ARP请求的应答,从而保护服务器不受到攻击。


END