华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置STA严格从DHCP获取地址
背景信息
为提高网络安全性,可以开启以下几个功能。
ARP检测:即动态ARP检测功能,AP对所有开启该功能的VAP内通过的ARP请求和响应报文进行检测,丢弃非法、攻击的ARP报文,并记录告警信息。这项功能可以用来防止非法用户的ARP报文通过AP访问外部网络并对合法用户进行干扰或欺骗,还可以防止攻击者对AP的CPU形成冲击造成AP功能无法正常运行甚至AP瘫痪。
IP地址绑定检查:即IPSG功能,用户任意配置固定IP地址,通过802.1X认证后就可以允许用户接入,为防止基于源地址欺骗的攻击行为,AP上可以开启IPSG功能,防止非法报文通过AP。
严格IP地址学习:即STA地址严格DHCP获取功能,开启该功能后,
如果STA是通过DHCP协议获取的IP地址,AP会保存与该STA相关的IP信息,用于维护STA的MAC地址和IP地址对应关系表项;
如果STA的IP地址是静态IP地址:如果同时开启严格IP地址学习动态黑名单,STA会被加入到AP的动态黑名单中,黑名单表项老化前,STA都无法关联到AP上。如果不开启严格IP地址学习动态黑名单,允许STA关联AP,但AP不会学习STA的IP地址。
同时开启以上三个功能,可以保证用户在通过DHCP方式获取IP地址之前,不能和网络进行通信。
项目 |
修改后数据 |
|---|---|
ARP检测 |
开启 |
IP地址绑定检查 |
开启 |
严格IP地址学习 |
开启 |
严格IP地址学习动态黑名单 |
开启 |
