在局域網中,當主機或其它三層網絡設備有數據要發送給另一臺主機或三層網絡設備時,它需要知道對方的網絡層地址(即IP地址)。但是僅有IP地址是不夠的,因為IP報文必須封裝成二層幀才能通過物理網絡發送,因此發送方還需要知道接收方的物理地址(即MAC地址),這就需要一個從IP地址到MAC地址的映射。ARP協議就是實現將IP地址解析為MAC地址。主機或三層網絡設備上會維護一張ARP表,用於存儲IP地址和MAC地址的關係。
在局域網中,當主機或其它三層網絡設備有數據要發送給另一臺主機或三層網絡設備時,它需要知道對方的網絡層地址(即IP地址)。但是僅有IP地址是不夠的,因為IP報文必須封裝成二層幀才能通過物理網絡發送,因此發送方還需要知道接收方的物理地址(即MAC地址),這就需要一個從IP地址到MAC地址的映射。ARP協議就是實現將IP地址解析為MAC地址。主機或三層網絡設備上會維護一張ARP表,用於存儲IP地址和MAC地址的關係。
ARP協議是建立在網絡中所有節點都是可信的情況下,在可信的環境中,它是高效的;但是在我們實際的網絡環境中,由於ARP協議不會檢查自己是否發過請求包,也不管是否是合法的應答,只要收到目標MAC是自己的ARP reply包或arp廣播包(包括ARP request和ARP reply),都會接受並緩存。這就導致了局域網中各種ARP攻擊層出不窮。說到底,如今ARP攻擊如此氾濫,還是因為協議上的缺陷。
在局域網中,當主機或其它三層網絡設備有數據要發送給另一臺主機或三層網絡設備時,它需要知道對方的網絡層地址(即IP地址)。但是僅有IP地址是不夠的,因為IP報文必須封裝成二層幀才能通過物理網絡發送,因此發送方還需要知道接收方的物理地址(即MAC地址),這就需要一個從IP地址到MAC地址的映射。ARP協議就是實現將IP地址解析為MAC地址。主機或三層網絡設備上會維護一張ARP表,用於存儲IP地址和MAC地址的關係。
ARP協議是建立在網絡中所有節點都是可信的情況下,在可信的環境中,它是高效的;但是在我們實際的網絡環境中,由於ARP協議不會檢查自己是否發過請求包,也不管是否是合法的應答,只要收到目標MAC是自己的ARP reply包或arp廣播包(包括ARP request和ARP reply),都會接受並緩存。這就導致了局域網中各種ARP攻擊層出不窮。說到底,如今ARP攻擊如此氾濫,還是因為協議上的缺陷。
下面介紹下集中ARP的應用方式:
1、動態ARP:
動態ARP表項由ARP協議通過ARP報文自動生成和維護,可以被老化,可以被新的ARP報文更新;此方式不需要管理員手動維護ARP表項,適合於大型或者拓撲復雜的網絡環境中。(實際我們一般都是使用的動態ARP).
什麼情況下才會新增arp表項:
在實際的環境中,只有同時滿足以下兩個條件時,設備的ARP表才會更新:
1.設備收到來自某IP的ARP請求包或者其他ARP包;
2.設備的現有ARP表中已經存在該IP對應的ARP表。
ARP老化時間:
華為交換機默認ARP的老化時間為20分鐘,當達到配置的表項老化時間後,根據探測次數每隔5s發送一個探測報文,如果一直沒有收到應答消息則表項被刪除。
2、靜態ARP
靜態ARP表項是由網絡管理員手工建立的IP地址和MAC地址之間固定的映射關係。靜態ARP表項不會被老化,不會被動態ARP表項覆蓋。
靜態ARP表項分為短靜態ARP表項和長靜態ARP表項。
短靜態ARP表項:手工建立IP地址和MAC地址之間固定的映射關係,未同時指定VLAN和出接口。
長靜態ARP表項:手工建立IP地址和MAC地址之間固定的映射關係,並同時指定該ARP表項所在VLAN和出接口。
對於以下場景,可以配置靜態ARP表項:
對於網絡中的重要設備,如服務器等,可以在交換機上配置靜態ARP表項。
當希望禁止某個IP地址訪問設備時,可以在交換機上配置靜態ARP表項,將該IP地址與一個不存在的MAC地址進行綁定。
3、免費ARP
設備主動使用自己的IP地址作為目的IP地址發送ARP請求,此種方式稱免費ARP。
免費ARP有如下作用:
IP地址衝突檢測:當設備接口的協議狀態變為Up時,設備主動對外發送免費ARP報文。正常情況下不會收到ARP應答,如果收到,則表明本網絡中存在與自身IP地址重複的地址。如果檢測到IP地址衝突,設備會週期性的廣播發送免費ARP應答報文,直到衝突解除。
用於通告一個新的MAC地址:發送方更換了網卡,MAC地址變化了,為了能夠在動態ARP表項老化前通告網絡中其他設備,發送方可以發送一個免費ARP。
4、代理ARP
如果ARP請求是從一個網絡的主機發往同一網段但不在同一物理網絡上的另一臺主機,那麼連接這兩個網絡的設備就可以回答該ARP請求,這個過程稱作ARP代理(Proxy ARP)。
Proxy ARP有以下特點:
Proxy ARP部署在網關上,網絡中的主機不必做任何改動。
Proxy ARP可以隱藏物理網絡細節,使兩個物理網絡可以使用同一個網絡號。
Proxy ARP隻影響主機的ARP表,對網關的ARP表和路由表沒有影響。
在局域網中,當主機或其它三層網絡設備有數據要發送給另一臺主機或三層網絡設備時,它需要知道對方的網絡層地址(即IP地址)。但是僅有IP地址是不夠的,因為IP報文必須封裝成二層幀才能通過物理網絡發送,因此發送方還需要知道接收方的物理地址(即MAC地址),這就需要一個從IP地址到MAC地址的映射。ARP協議就是實現將IP地址解析為MAC地址。主機或三層網絡設備上會維護一張ARP表,用於存儲IP地址和MAC地址的關係。
ARP協議是建立在網絡中所有節點都是可信的情況下,在可信的環境中,它是高效的;但是在我們實際的網絡環境中,由於ARP協議不會檢查自己是否發過請求包,也不管是否是合法的應答,只要收到目標MAC是自己的ARP reply包或arp廣播包(包括ARP request和ARP reply),都會接受並緩存。這就導致了局域網中各種ARP攻擊層出不窮。說到底,如今ARP攻擊如此氾濫,還是因為協議上的缺陷。
下面介紹下集中ARP的應用方式:
1、動態ARP:
動態ARP表項由ARP協議通過ARP報文自動生成和維護,可以被老化,可以被新的ARP報文更新;此方式不需要管理員手動維護ARP表項,適合於大型或者拓撲復雜的網絡環境中。(實際我們一般都是使用的動態ARP).
什麼情況下才會新增arp表項:
在實際的環境中,只有同時滿足以下兩個條件時,設備的ARP表才會更新:
1.設備收到來自某IP的ARP請求包或者其他ARP包;
2.設備的現有ARP表中已經存在該IP對應的ARP表。
ARP老化時間:
華為交換機默認ARP的老化時間為20分鐘,當達到配置的表項老化時間後,根據探測次數每隔5s發送一個探測報文,如果一直沒有收到應答消息則表項被刪除。
2、靜態ARP
靜態ARP表項是由網絡管理員手工建立的IP地址和MAC地址之間固定的映射關係。靜態ARP表項不會被老化,不會被動態ARP表項覆蓋。
靜態ARP表項分為短靜態ARP表項和長靜態ARP表項。
短靜態ARP表項:手工建立IP地址和MAC地址之間固定的映射關係,未同時指定VLAN和出接口。
長靜態ARP表項:手工建立IP地址和MAC地址之間固定的映射關係,並同時指定該ARP表項所在VLAN和出接口。
對於以下場景,可以配置靜態ARP表項:
對於網絡中的重要設備,如服務器等,可以在交換機上配置靜態ARP表項。
當希望禁止某個IP地址訪問設備時,可以在交換機上配置靜態ARP表項,將該IP地址與一個不存在的MAC地址進行綁定。
3、免費ARP
設備主動使用自己的IP地址作為目的IP地址發送ARP請求,此種方式稱免費ARP。
免費ARP有如下作用:
IP地址衝突檢測:當設備接口的協議狀態變為Up時,設備主動對外發送免費ARP報文。正常情況下不會收到ARP應答,如果收到,則表明本網絡中存在與自身IP地址重複的地址。如果檢測到IP地址衝突,設備會週期性的廣播發送免費ARP應答報文,直到衝突解除。
用於通告一個新的MAC地址:發送方更換了網卡,MAC地址變化了,為了能夠在動態ARP表項老化前通告網絡中其他設備,發送方可以發送一個免費ARP。
4、代理ARP
如果ARP請求是從一個網絡的主機發往同一網段但不在同一物理網絡上的另一臺主機,那麼連接這兩個網絡的設備就可以回答該ARP請求,這個過程稱作ARP代理(Proxy ARP)。
Proxy ARP有以下特點:
Proxy ARP部署在網關上,網絡中的主機不必做任何改動。
Proxy ARP可以隱藏物理網絡細節,使兩個物理網絡可以使用同一個網絡號。
Proxy ARP隻影響主機的ARP表,對網關的ARP表和路由表沒有影響。