评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ARP表项固化
如图10-3所示,Attacker仿冒UserA向Gateway发送伪造的ARP报文,导致Gateway的ARP表中记录了错误的UserA地址映射关系,造成UserA接收不到正常的数据报文。
为了防御这种欺骗网关攻击,可以在网关设备上部署ARP表项固化功能。网关设备在第一次学习到ARP以后,不再允许用户更新此ARP表项或只能允许更新此ARP表项的部分信息,或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认。
设备提供的三种ARP表项固化模式,如表10-3所示。
表10-3 ARP表项固化模式介绍
固化模式 |
功能 |
|---|---|
fixed-all模式 |
如果设备收到的ARP报文中的MAC地址、接口或VLAN信息和ARP表中的信息不匹配,则直接丢弃该ARP报文。此模式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。 |
fixed-mac模式 |
如果设备收到的ARP报文中的MAC地址与ARP表中对应条目的MAC地址不匹配,则直接丢弃该ARP报文;如果匹配,但是收到报文的接口或VLAN信息与ARP表中对应条目不匹配,则可以更新对应ARP条目中的接口和VLAN信息。此模式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。 |
send-ack模式 |
如果设备收到的ARP报文A涉及ARP表项MAC地址、接口或VLAN信息的修改,设备不会立即更新ARP表项,而是先向待更新的ARP表项现有MAC地址对应的用户发送一个单播的ARP请求报文进行确认。
此模式适用于用户的MAC地址和接入位置均频繁变动的场景。 |
