所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300E, S9300X V200R010C00 配置指南-IP业务

本文档介绍了IP业务的配置,具体包括IP地址配置、ARP配置、DHCP配置、DNS配置、mDNS网关配置、mDNS中继配置、UDP Helper配置、IP性能优化配置、IPv6基础配置、DHCPv6配置、IPv6 DNS配置、IPv6 over IPv4隧道配置和IPv4 over IPv6隧道配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
静态ARP能否实现IP地址和MAC地址绑定

静态ARP能否实现IP地址和MAC地址绑定

静态ARP可以实现IP地址和MAC地址绑定,从而能够避免ARP表项被攻击者伪造的ARP报文错误更新,但静态ARP不能实现用户私自更改IP地址后不能访问外网的功能。当网络管理员需要实现用户私自更改IP地址后不能访问外网的功能,需要配置IPSG(IP Source Guard)功能。

实现IP地址和MAC地址绑定的功能还有动态ARP检测DAI(Dynamic ARP Inspection)和出口ARP检测EAI(Egress ARP Inspection),但四种功能具体应用的场景是不一样的,用户可以根据需要选择部署这些功能。

静态ARP

应用场景

对于以下场景,用户可以配置静态ARP表项。
  • 对于网络中的重要设备,如服务器等,可以在交换机上配置静态ARP表项。这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新,从而保证用户与重要设备之间正常通信。
  • 当网络中用户设备的MAC地址为组播MAC地址时,可以在交换机上配置静态ARP表项。缺省情况下,设备收到源MAC地址为组播MAC地址的ARP报文时不会进行ARP学习。
  • 当希望禁止某个IP地址访问设备时,可以在交换机上配置静态ARP表项,将该IP地址与一个不存在的MAC地址进行绑定。

实现原理

静态ARP表项不会被老化,不会被动态ARP表项覆盖。用户可以通过arp static命令手工配置,也可以通过ARP自动扫描和固化的方式批量配置。

IPSG

应用场景

IPSG功能主要用于防止IP地址冒用的场景,例如希望实现用户私自更改IP地址后不能访问外网时可以配置此功能。

IP地址冒用指攻击者使用自己的MAC地址,但是冒用他人的IP地址进行通信,以获取被攻击者的权限或者本应发送给被攻击者的报文。

实现原理

IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。

设备在转发IP报文时,将IP报文中的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行比较(比较的内容用户可以根据需要进行配置,例如可以只将IP报文中的源IP地址和VLAN信息与绑定表的信息进行比较):
  • 如果信息匹配,表明是合法用户,则允许此IP报文正常转发。
  • 否则认为是攻击报文,丢弃该IP报文。

配置IPSG功能时,用户可以执行命令user-bind static,配置静态绑定表。

DAI

应用场景

DAI功能主要用于防御中间人攻击的场景,避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新。

实现原理

DAI功能是基于绑定表(DHCP动态和静态绑定表)对ARP报文进行匹配检查。

设备收到ARP报文时,将ARP报文对应的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行比较(比较的内容用户可以根据需要进行配置,例如可以只将ARP报文中的源IP地址和VLAN信息与绑定表的信息进行比较):
  • 如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过。
  • 否则就认为是攻击,丢弃该ARP报文。

配置DAI功能时,用户可以执行命令user-bind static,配置静态绑定表。

EAI

应用场景

EAI功能主要用于减少ARP请求报文的广播,降低ARP广播报文对网络造成的冲击,保证用户业务的正常运行。

实现原理

EAI功能是基于DHCP Snooping动态绑定表来确定ARP请求报文的出接口,将ARP请求报文进行转发,减少广播。

翻译
下载文档
更新时间:2019-04-17

文档编号:EDOC1000141518

浏览量:13889

下载量:292

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页