静态ARP
定义
静态ARP是指网络管理员手工建立IP地址和MAC地址之间固定的映射关系。
产生原因
动态ARP
优点:动态ARP表项无需网络管理员手工进行配置和维护。尤其在网络中设备出现故障或者主机频繁更换网卡时,可以实时动态更新ARP表项,大大减少了网络管理员的维护量。
- 缺点:
- 动态ARP表项可以被老化,也能被新的动态ARP表项覆盖,不能保证网络通信的稳定性和安全性。
- 动态ARP的执行,会占用一定的网络资源,不适用于带宽资源紧张的网络,并且可能对用户的业务造成影响。
静态ARP
- 优点:
- 静态ARP表项不会被老化,也不会被动态ARP表项覆盖,可以保证网络通信的稳定性。
- 配置静态ARP,将IP地址和MAC地址进行绑定,避免了网络攻击者通过ARP报文篡改ARP表项,保证网络通信的安全性。
- 配置静态ARP,省去了动态ARP的执行过程,减少了网络资源的消耗。
缺点:由于静态ARP表项必须由网络管理员手工进行配置,对于一些网络结构频繁变化的场景,网络管理员的维护量很大。
静态ARP主要用来解决以下问题:
将某些IP地址绑定到某个指定网关,使得到这些IP地址的报文只能通过该网关进行转发。
将指定主机发送的报文的目的IP地址绑定到某个不存在的MAC地址,可以帮助用户过滤掉一些自己不需要的报文。
综上所述,用户可以根据自身的需求和网络资源情况,选择部署静态ARP,保证网络的稳定性和安全性。
相关概念
短静态ARP表项
短静态ARP表项不能直接用于报文转发。当用户需要发送报文时,必须先发送ARP请求报文,如果收到的应答报文中的源IP地址和源MAC地址与所配置的IP地址和MAC地址相同,则将收到ARP应答报文的接口加入该静态ARP表项中,以后设备可直接用该接口转发报文。
当希望设备和指定用户只能使用某个固定的IP地址和MAC地址通信时,建议配置短静态ARP表项。
说明:
在NLB(Network Load Balancing)集群场景中,需要对网关设备同时配置多出接口MAC表项和短静态ARP表项,且两者的MAC地址是相同的。此时,该短静态ARP表项被称为多出接口ARP表项,不允许用户对该表项进行更新。长静态ARP表项
在配置长静态ARP表项时,除了配置IP地址和MAC地址项外,还必须配置该ARP表项所在VLAN和出接口。长静态ARP表项可以直接用于报文转发。
当希望限定设备和指定用户只能通过某VLAN内的某个指定接口和设备通信时,建议配置长静态ARP表项。
适用场景
- 拓扑结构简单,稳定性高的网络。
- 信息安全要求高的网络,比如某些政府网络、军方网络等。
- 短静态ARP主要用于网络管理员希望绑定用户的IP地址和MAC地址信息,同时又希望用户的接入端口可以变化的场景。
使用价值
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址,此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系,从而保护了本端设备和对端设备间的正常通信。