评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
静态ARP应用
组网描述
如图2-18所示,某些特殊机构的内部网络通过网关设备PE来与外界进行通信,但是为了保护信息安全,防止内部机密信息的泄露,需要尽可能避免网络攻击者通过篡改PE的ARP表项信息,仿冒内部主机获取机密信息,从而保证内部网络通信的安全。
- 在配置静态ARP之前,设备PE是通过ARP报文动态学习、动态刷新IP地址和MAC地址之间的映射关系。但是,由于动态ARP表项可以被老化,也可以被新的动态ARP表项覆盖。所以,当该机构的内部网络遭受到外部网络的攻击时,攻击者可以通过发送伪造的ARP报文,篡改网关设备PE的ARP表项,造成机构内部信息的泄露。
- 在配置静态ARP之后,设备PE的ARP表项由网络管理员手工进行配置和维护。由于静态ARP表项不会被老化,也不会被动态ARP表项覆盖。所以,配置静态ARP能有效避免网络攻击者通过发送伪造的ARP报文,篡改网关设备PE的ARP表项,从而防止机构内部信息的泄露。
特性部署
对网络中的设备PE配置静态ARP,建立该机构的内部主机的IP地址和MAC地址之间固定的映射关系,有效防止外部网络的攻击者通过伪造ARP报文篡改PE上的ARP表项信息,保证网络通信的稳定性和安全性,尽可能消除机构内部信息泄露的隐患。