加入收藏 | 设为首页 | 会员中心 | 我要投稿 惠州站长网 (https://www.0752zz.com.cn/)- 办公协同、云通信、物联设备、操作系统、高性能计算!
当前位置: 首页 > 教程 > 正文

网络工程师必须了解的ARP知识

发布时间:2019-07-18 23:07:03 所属栏目:教程 来源:攻城狮成长之路
导读:副标题#e# 动态ARP表项学习 大多数情况下,设备可以通过ARP协议动态学习和更新ARP表项。设备是如何进行动态学习的呢?其实动态ARP主要是通过广播ARP请求报文和单播ARP应答报文这两个过程完成地址解析的。 例如:小A和小C在一次聚会上互留了IP地址。如上图所

出口ARP检测就是通过减少VLAN内广播报文较少CPU的负担。其核心原理是根据DHCP Snooping表查找目的IP地址对应的出接口,将ARP请求报文直接从查找到的出接口发送出去,减少VLAN内广播的ARP报文,从而减少CPU的负担。

出口ARP检测功能主要是为了减少网关设备处理的ARP报文个数。如图1所示,通过在L2switch上使能出口ARP检测功能,可以在L2switch广播ARP请求报文之前,查找DHCP Snooping绑定表,如果能够找到ARP报文中目的IP地址对应的出接口,则将ARP请求报文从找到的出接口发送出去,有效减少网关收到的ARP请求报文数量。

网络工程师必须了解的ARP知识

出口ARP检测功能配置方法如下:

  1. [L2switch] dhcp enable //全局使能DHCP功能 
  2. [L2switch] dhcp snooping enable //全局使能DHCP Snooping功能 
  3. [L2switch] vlan 10  
  4. [L2switch-vlan10] dhcp snooping enable  
  5. [L2switch-vlan10] dhcp snooping arp security enable //使能出口ARP检测功能 

2. 保证ARP表项的正确性

(1) 防止仿冒网关攻击

提供下面几种方法防止仿冒网关的攻击

网络工程师必须了解的ARP知识

配置方法如下:

配置网关定时发送免费ARP报文。

  1. [Gateway] arp gratuitous-arp send enable //使能发送免费ARP报文,默认是发送时间间隔是30秒 

配置ARP防网关冲突检测。

  1. [Gateway] arp anti-attack gateway-duplicate enable 

配置ARP网关保护功能。

  1. [L2switch] interface gigabitethernet 0/0/1  
  2. [L2switch-GigabitEthernet0/0/1] arp filter source 10.1.1.1 //被保护的网关IP地址是10.1.1.1 

(2) 防止仿冒合法用户攻击

(编辑:惠州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

推荐文章
    热点阅读