溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

arp以及端口隔離

發(fā)布時(shí)間:2020-07-07 01:25:37 來(lái)源:網(wǎng)絡(luò) 閱讀:1154 作者:spoony丶 欄目:安全技術(shù)

地址解析協(xié)議(Address Resolution Protocol,ARP)是在僅知道主機(jī)IP地址時(shí)確定其物理地址的一種協(xié)議。因IPv4和以太網(wǎng)的廣泛應(yīng)用,其主要作用是通過(guò)已知IP地址,獲取對(duì)應(yīng)物理地址的一種協(xié)議。但其也能在ATM(異步傳輸模式)和FDDIIP(Fiber Distributed Data Interface光纖分布式數(shù)據(jù)接口)網(wǎng)絡(luò)中使用。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說(shuō)來(lái)就是將網(wǎng)絡(luò)層(IP層,也就是相當(dāng)于OSI的第三層)地址解析為數(shù)據(jù)鏈路層MAC層,也就是相當(dāng)于OSI的第二層)的MAC地址。

arp以及端口隔離

在網(wǎng)絡(luò)層

arp地址解析工作過(guò)程   通過(guò)數(shù)據(jù)包目標(biāo)ip地址  ---》如果,緩存中有的話找到目標(biāo)mac地址進(jìn)行封裝,不存在的話它就會(huì)發(fā)廣播找到,舉例如下:

在TCP/IP協(xié)議中,A給B發(fā)送IP包,在報(bào)頭中需要填寫B(tài)的IP為目標(biāo)地址,但這個(gè)IP包在以太網(wǎng)上傳輸?shù)臅r(shí)候,還需要進(jìn)行一次以太包的封裝,在這個(gè)以太包中,目標(biāo)地址就是B的MAC地址。
計(jì)算機(jī)A是如何得知B的MAC地址的呢?解決問題的關(guān)鍵就在于ARP協(xié)議。

在A不知道B的MAC地址的情況下,A就廣播一個(gè)ARP請(qǐng)求包,請(qǐng)求包中填有B的IP(192.168.1.2),以太網(wǎng)中的所有計(jì)算機(jī)都會(huì)接收這個(gè)請(qǐng)求,而正常的情況下只有B會(huì)給出ARP應(yīng)答包,包中就填充上了B的MAC地址,并回復(fù)給A。A得到ARP應(yīng)答后,將B的MAC地址放入本機(jī)緩存,便于下次使用。本機(jī)MAC存是有生存期的,生存期結(jié)束后,將再次重復(fù)上面的過(guò)程。

ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候,就會(huì)對(duì)本地的ARP進(jìn)行更新,將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。因此,當(dāng)局域網(wǎng)中的某臺(tái)機(jī)器B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答,而如果這個(gè)應(yīng)答是B冒充C偽造來(lái)的,即IP地址為C的IP,而MAC地址是偽造的,則當(dāng)A接收到B偽造的ARP應(yīng)答后,就會(huì)更新本地的ARP,這樣在A看來(lái)C的IP地址沒有變,而它的MAC地址已經(jīng)不是原來(lái)那個(gè)了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行,而是按照MAC地址進(jìn)行傳輸。所以,那個(gè)偽造出來(lái)的MAC地址在A上被改變成一個(gè)不存在的MAC地址,這樣就會(huì)造成網(wǎng)絡(luò)不通,導(dǎo)致A不能Ping通C!這就是一個(gè)簡(jiǎn)單的ARP欺騙。

arp可以實(shí)現(xiàn)ip地址和mac地址的綁定,使用的命令如下:

arp static ip地址 mac地址

優(yōu)點(diǎn):避免廣播

     安全

RARP(逆向ARP)經(jīng)常在無(wú)盤工作站上使用,以獲得它的邏輯IP地址。

rarp   自己mac  ---》自己ip  

     

端口隔離

   是為了實(shí)現(xiàn)報(bào)文之間的二層隔離,可以將不同的端口加入不同的VLAN,但會(huì)浪費(fèi)有限的VLAN資源。采用端口隔離特性,可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中,就可以實(shí)現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)方案。

   目前有些設(shè)備只支持一個(gè)隔離組(以下簡(jiǎn)稱單隔離組),由系統(tǒng)自動(dòng)創(chuàng)建隔離組1,用戶不可刪除該隔離組或創(chuàng)建其它的隔離組。有些設(shè)備支持多個(gè)隔離組(以下簡(jiǎn)稱多隔離組),用戶可以手工配置。不同設(shè)備支持的隔離組數(shù)不同,請(qǐng)以設(shè)備實(shí)際情況為準(zhǔn)。
隔離組內(nèi)可以加入的端口數(shù)量沒有限制。
端口隔離特性與端口所屬的VLAN無(wú)關(guān)。對(duì)于屬于不同VLAN的端口,只有同一個(gè)隔離組的普通端口到上行端口的二層報(bào)文可以單向通過(guò),其它情況的端口二層數(shù)據(jù)是相互隔離的。
端口隔離技術(shù)在H3C交換機(jī)上的實(shí)現(xiàn)
system-view 進(jìn)入系統(tǒng)視圖
interface interface-type interface-number 進(jìn)入以太網(wǎng)端口視圖
port isolate 將以太網(wǎng)端口加入到隔離組中
端口隔離技術(shù)在H3C交換機(jī)上實(shí)現(xiàn)很強(qiáng),使用也方便,上述的三條命令就可以實(shí)現(xiàn)相應(yīng)端口之間隔離。

交換機(jī)H3C

1、二層  一個(gè)隔離組

端口隔離:

int 端口ID

port isolate

這種情況是,只要被隔離的端口兩兩都不能通信,有局限性。

2、三層  多個(gè)隔離組   【am】

端口隔離:

am enable(啟動(dòng)am功能)

int 端口ID

am isolate 要隔離的端口。跟指定的端口進(jìn)行隔離(不需要在指定的端口上再配置端口隔離)  

端口+ip綁定:

am enable

int 端口ID

am ip-pool ip地址(可以寫指定ip,也可以使用后跟數(shù)字指定范圍)



向AI問一下細(xì)節(jié)
推薦閱讀:
  1. 防止ARP欺騙
  2. arp欺騙

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI