评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置静态ARP
静态ARP是指通过手动建立IP地址和MAC地址之间的固定映射关系,在主机和路由器上不能动态调整此映射关系。静态ARP表项在路由设备正常工作时不被老化。
应用环境
静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。所以配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
配置静态ARP可用在以下情况:
为了将目的IP地址不在本网段的报文,透过本网段的某个网关,使得到该IP地址的报文能通过该网关进行转发。
当用户需要过滤掉一些目的IP地址为非法的ARP报文时,将这些非法的IP地址绑定到某个不存在的MAC地址。
对于网络中重要的设备,如服务器等,可以在设备上将与其通信的成员的IP地址和MAC地址映射关系配置为静态ARP表项。这种静态映射关系不但不能被伪造的ARP报文动态改写,而且同样会限制对非法ARP请求的应答,从而保护设备不受到网络攻击。
配置静态ARP表项虽然可以保护ARP表不被改写,但是配置工作量大,不适用于主机IP地址可能发生更改的网络环境,建议在比较小的网络里使用。
