九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

ARP

ARP作用

ARP（Address Resolution Protocol，地址解析協議）是將IP地址解析為以太網MAC地址（或稱物理地址）的協議。

在局域網中，當主機或其它網絡設備有數據要發(fā)送給另一個主機或設備時，它必須知道對方的網絡層地址（即IP地址）。但是僅僅有IP地址是不夠的，因為IP數據報文必須封裝成幀才能通過物理網絡發(fā)送，因此發(fā)送站還必須有接收站的物理地址，所以需要一個從IP地址到物理地址的映射。APR就是實現這個功能的協議。

ARP報文結構

ARP報文分為ARP請求和ARP應答報文，報文格式如圖1-1所示。

圖 1 ARP報文結構

              硬件類型：表示硬件地址的類型。它的值為1表示以太網地址；

              協議類型：表示要映射的協議地址類型。它的值為0x0800即表示IP地址；

              硬件地址長度和協議地址長度分別指出硬件地址和協議地址的長度，以字節(jié)為單位。對于以太網上IP地址的ARP請求或應答來說，它們的值分別為6和4；

              操作類型（OP）：1表示ARP請求，2表示ARP應答；

              發(fā)送端MAC地址：發(fā)送方設備的硬件地址；

              發(fā)送端IP地址：發(fā)送方設備的IP地址；

              目標MAC地址：接收方設備的硬件地址。

              目標IP地址：接收方設備的IP地址。

ARP地址解析過程

假設主機A和B在同一個網段，主機A要向主機B發(fā)送信息。如圖1-2所示，具體的地址解析過程如下：

(1)        主機A首先查看自己的ARP表，確定其中是否包含有主機B對應的ARP表項。如果找到了對應的MAC地址，則主機A直接利用ARP表中的MAC地址，對IP數據包進行幀封裝，并將數據包發(fā)送給主機B。

(2)        如果主機A在ARP表中找不到對應的MAC地址，則將緩存該數據報文，然后以廣播方式發(fā)送一個ARP請求報文。ARP請求報文中的發(fā)送端IP地址和發(fā)送端MAC地址為主機A的IP地址和MAC地址，目標IP地址和目標MAC地址為主機B的IP地址和全0的MAC地址。由于ARP請求報文以廣播方式發(fā)送，該網段上的所有主機都可以接收到該請求，但只有被請求的主機（即主機B）會對該請求進行處理。

(3)        主機B比較自己的IP地址和ARP請求報文中的目標IP地址，當兩者相同時進行如下處理：將ARP請求報文中的發(fā)送端（即主機A）的IP地址和MAC地址存入自己的ARP表中。之后以單播方式發(fā)送ARP響應報文給主機A，其中包含了自己的MAC地址。

(4)        主機A收到ARP響應報文后，將主機B的MAC地址加入到自己的ARP表中以用于后續(xù)報文的轉發(fā)，同時將IP數據包進行封裝后發(fā)送出去。

圖 2 ARP地址解析過程

當主機A和主機B不在同一網段時，主機A就會先向網關發(fā)出ARP請求，ARP請求報文中的目標IP地址為網關的IP地址。當主機A從收到的響應報文中獲得網關的MAC地址后，將報文封裝并發(fā)給網關。如果網關沒有主機B的ARP表項，網關會廣播ARP請求，目標IP地址為主機B的IP地址，當網關從收到的響應報文中獲得主機B的MAC地址后，就可以將報文發(fā)給主機B；如果網關已經有主機B的ARP表項，網關直接把報文發(fā)給主機B。

ARP表

設備通過ARP解析到目的MAC地址后，將會在自己的ARP表中增加IP地址到MAC地址的映射表項，以用于后續(xù)到同一目的地報文的轉發(fā)。

ARP表項分為動態(tài)ARP表項和靜態(tài)ARP表項。

動態(tài)ARP表項

動態(tài)ARP表項由ARP協議通過ARP報文自動生成和維護，可以被老化，可以被新的ARP報文更新，可以被靜態(tài)ARP表項覆蓋。當到達老化時間、接口down時會刪除相應的動態(tài)ARP表項。

靜態(tài)ARP表項

靜態(tài)ARP表項通過手工配置和維護，不會被老化，不會被動態(tài)ARP表項覆蓋。

配置靜態(tài)ARP表項可以增加通信的安全性。靜態(tài)ARP表項可以限制和指定IP地址的設備通信時只使用指定的MAC地址，此時攻擊報文無法修改此表項的IP地址和MAC地址的映射關系，從而保護了本設備和指定設備間的正常通信。

靜態(tài)ARP表項分為短靜態(tài)ARP表項和長靜態(tài)ARP表項。

              在配置長靜態(tài)ARP表項時，除了配置IP地址和MAC地址項外，還必須配置該ARP表項所在VLAN和出接口。長靜態(tài)ARP表項可以直接用于報文轉發(fā)。

              在配置短靜態(tài)ARP表項時，只需要配置IP地址和MAC地址項。如果出接口是三層以太網接口，短靜態(tài)ARP表項可以直接用于報文轉發(fā)；如果出接口是VLAN虛接口，短靜態(tài)ARP表項不能直接用于報文轉發(fā)，當要發(fā)送IP數據包時，先發(fā)送ARP請求報文，如果收到的響應報文中的源IP地址和源MAC地址與所配置的IP地址和MAC地址相同，則將接收ARP響應報文的接口加入該靜態(tài)ARP表項中，之后就可以用于IP數據包的轉發(fā)。

    一般情況下，ARP動態(tài)執(zhí)行并自動尋求IP地址到以太網MAC地址的解析，無需管理員的介入。

    當希望設備和指定用戶只能使用某個固定的IP地址和MAC地址通信時，可以配置短靜態(tài)ARP表項，當進一步希望限定這個用戶只在某VLAN內的某個特定接口上連接時就可以配置長靜態(tài)ARP表項。

免費ARP

免費ARP報文是一種特殊的ARP報文，該報文中攜帶的發(fā)送端IP地址和目標IP地址都是本機IP地址，報文源MAC地址是本機MAC地址，報文的目的MAC地址是廣播地址。

設備通過對外發(fā)送免費ARP報文來實現以下功能：

              確定其它設備的IP地址是否與本機的IP地址沖突。當其它設備收到免費ARP報文后，如果發(fā)現報文中的IP地址和自己的IP地址相同，則給發(fā)送免費ARP報文的設備返回一個ARP應答，告知該設備IP地址沖突。

              設備改變了硬件地址，通過發(fā)送免費ARP報文通知其它設備更新ARP表項。

免費ARP報文學習功能的作用

使能了免費ARP報文學習功能后，設備會根據收到的免費ARP報文中攜帶的信息（源IP地址、源MAC地址）對自身維護的ARP表進行修改。設備先判斷ARP表中是否存在與此免費ARP報文源IP地址對應的ARP表項：

              如果沒有對應的ARP表項，設備會根據該免費ARP報文中攜帶的信息新建ARP表項；

              如果存在對應的ARP表項，設備會根據該免費ARP報文中攜帶的信息更新對應的ARP表項。

關閉免費ARP報文學習功能后，設備不會根據收到的免費ARP報文來新建ARP表項，但是會更新已存在的對應ARP表項。如果用戶不希望通過免費ARP報文來新建ARP表項，可以關閉免費ARP報文學習功能，以節(jié)省ARP表項資源。

定時發(fā)送免費ARP功能的作用

定時發(fā)送免費ARP功能可以及時通知下行設備更新ARP表項或者MAC地址表項，主要應用場景如下：

(1)        防止仿冒網關的ARP攻擊

如果攻擊者仿冒網關發(fā)送免費ARP報文，就可以欺騙同網段內的其它主機，使得被欺騙的主機訪問網關的流量，被重定向到一個錯誤的MAC地址，導致其它主機用戶無法正常訪問網絡。

為了盡量避免這種仿冒網關的ARP攻擊，可以在網關的接口上使能定時發(fā)送免費ARP功能。使能該功能后，網關接口上將按照配置的時間間隔周期性發(fā)送接口主IP地址和手工配置的從IP地址的免費ARP報文。這樣，每臺主機都可以學習到正確的網關，從而正常訪問網絡。

(2)        防止主機ARP表項老化

在實際環(huán)境中，當網絡負載較大或接收端主機的CPU占用率較高時，可能存在ARP報文被丟棄或主機無法及時處理接收到的ARP報文等現象。這種情況下，接收端主機的動態(tài)ARP表項會因超時而被老化，在其重新學習到發(fā)送設備的ARP表項之前，二者之間的流量就會發(fā)生中斷。

為了解決上述問題，可以在網關的接口上使能定時發(fā)送免費ARP功能。使能該功能后，網關接口上將按照配置的時間間隔周期性發(fā)送接口主IP地址和手工配置的從IP地址的免費ARP報文。這樣，接收端主機可以及時更新ARP映射表，從而防止了上述流量中斷現象。

(3)        防止VRRP虛擬IP地址沖突

當網絡中存在VRRP備份組時，需要由VRRP備份組的Master路由器周期性的向網絡內的主機發(fā)送免費ARP報文，使主機更新本地ARP地址表，確保網絡中不會存在與VRRP虛擬IP地址相同的設備。

由于用戶可以設定VRRP虛擬IP地址和MAC地址對應關系，因此有以下兩種情況：

              如果當前VRRP虛擬IP地址和虛擬MAC地址對應，則免費ARP報文中的源MAC地址為VRRP虛擬路由器對應的虛擬MAC地址。

              如果當前VRRP虛擬IP地址和實際MAC地址對應，則免費ARP報文中的源MAC地址為VRRP備份組中Master路由器接口的MAC地址。

(4)        及時更新模糊終結VLAN內設備的MAC地址表

三層以太網子接口上同時配置了模糊終結多個VLAN和VRRP備份組時，為了避免發(fā)送過多的VRRP通告報文，需要關閉VLAN終結支持廣播/組播功能，并配置VRRP控制VLAN。此時，為了及時更新各個模糊終結VLAN內設備的MAC地址表項，可以在三層以太網子接口上使能定時發(fā)送免費ARP功能。使能該功能后，三層以太網子接口將按照配置的時間間隔周期性發(fā)送VRRP虛擬IP地址、接口主IP地址和手工配置的從IP地址的免費ARP報文。這樣，當VRRP主備狀態(tài)切換時，各個模糊終結VLAN內設備上可以及時更新為正確的MAC地址表項。

代理ARP

如果ARP請求是從一個網絡的主機發(fā)往同一網段卻不在同一物理網絡上的另一臺主機，那么連接它們的具有代理ARP功能的設備就可以回答該請求，這個過程稱作代理ARP（Proxy ARP）。

代理ARP功能屏蔽了分離的物理網絡這一事實，使用戶使用起來，好像在同一個物理網絡上。

代理ARP分為普通代理ARP和本地代理ARP，二者的應用場景有所區(qū)別：

              普通代理ARP的應用環(huán)境為：想要互通的主機分別連接到設備的不同三層接口上，且這些主機不在同一個廣播域中。

              本地代理ARP的應用環(huán)境為：想要互通的主機連接到設備的同一個三層接口上，且這些主機不在同一個廣播域中。

普通代理ARP

處于同一網段內的主機，當連接到設備的不同三層接口時，可以利用設備的代理ARP功能，通過三層轉發(fā)實現互通。

代理ARP的典型應用環(huán)境如圖3-1所示。設備Router通過兩個三層接口Ethernet1/1和Ethernet1/2連接兩個網絡，兩個三層接口的IP地址不在同一個網段，接口地址分別為192.168.10.99/24、192.168.20.99/24。但是兩個網絡內的主機Host A和Host B的地址通過掩碼的控制，既與相連設備的接口地址在同一網段，同時二者也處于同一個網段。

圖 3 普通代理ARP的應用環(huán)境

在這種組網情況下，當Host A需要與Host B通信時，由于目的IP地址與本機的IP地址為同一網段，因此Host A會直接發(fā)出請求Host B硬件地址的ARP請求。但是，此時的兩臺主機處于不同的廣播域中，Host B無法收到Host A的ARP請求報文，當然也就無法應答。

通過在Router上啟用代理ARP功能，可以解決此問題。啟用代理ARP后，Router可以應答Host A的ARP請求。同時，Router相當于Host B的代理，把從其他主機發(fā)送過來的報文轉發(fā)給它。

代理ARP的優(yōu)點是，它可以只被應用在一個設備上（此時該設備的作用相當于網關），不會影響到網絡中其他設備的路由表。代理ARP功能可以在IP主機沒有配置缺省網關或者IP主機沒有任何路由能力的情況下使用。

本地代理ARP

本地代理ARP的應用場景如圖3-2所示。Host A和Host B屬于同一個VLAN 2，但它們分別連接到被二層隔離的端口Ethernet1/3和Ethernet1/1上，通過在Router上啟用本地代理ARP功能，可以實現Host A和Host B的三層互通。

圖 4 本地代理ARP的應用環(huán)境

本地代理ARP可以在下列三種情況下實現主機之間的三層互通：

              想要互通的主機分別連接到同一個VLAN中的不同二層隔離端口下；

              使能Super VLAN功能后，想要互通的主機屬于不同的Sub VLAN；

              使能Isolate-user-vlan功能后，想要互通的主機屬于不同的Secondary VLAN。

ARP Snooping

ARP Snooping作用

ARP Snooping功能是一個用于二層交換網絡環(huán)境的特性，通過偵聽ARP報文建立ARP Snooping表項，從而提供給ARP快速應答和MFF手動方式等使用。

ARP Snooping工作機制

設備上的一個VLAN使能ARP Snooping后，該VLAN內所有端口接收的ARP報文會被重定向到CPU。CPU對重定向上送的ARP報文進行分析，獲取ARP報文的源IP地址、源MAC地址、源VLAN和入端口信息，建立記錄用戶信息的ARP Snooping表項。

ARP Snooping表項的老化時間為25分鐘，有效時間為15分鐘。如果一個ARP Snooping表項自最后一次更新后15分鐘內沒有收到ARP更新報文，則此表項開始進入失效狀態(tài)，不再對外提供服務，其他特性查找此表項將會失敗。當收到源IP地址和源MAC與已存在的ARP Snooping表項IP地址和MAC均相同的ARP報文時，此ARP Snooping表項進行更新，重新開始生效，并重新老化計時。當ARP Snooping表項達到老化時間后，則將此ARP Snooping表項刪除。

如果ARP Snooping收到ARP報文時檢查到相同IP的ARP Snooping表項已經存在，但是MAC地址發(fā)生了變化，則認為發(fā)生了攻擊，此時ARP Snooping表項處于沖突狀態(tài)，表項失效，不再對外提供服務，并在25分鐘后刪除此表項。

ARP快速應答

ARP快速應答作用

在無線產品組網中，AC與AP會建立隧道連接，Client通過AP連接到AC，通過AC，Client可以與網關建立連接。當Client發(fā)起ARP廣播請求時，需要通過AC向所有的AP復制ARP請求，這樣會導致ARP廣播占用隧道的大量資源，導致性能下降。為了減少ARP廣播占用的隧道資源，可以在AC上啟用ARP快速應答功能，減少ARP廣播報文的影響。

ARP快速應答功能就是根據AC設備收集的用戶信息（用戶信息可以是DHCP Snooping表項，也可以是ARP Snooping表項），在指定的VLAN內，盡可能的對ARP請求進行應答，從而減少ARP廣播報文。

ARP快速應答工作機制

ARP快速應答的工作機制如下：

(1)        設備接收到ARP請求報文時，如果請求報文的目的IP地址是設備的VLAN虛接口的IP地址，則由ARP特性進行處理；

(2)        如果ARP請求報文的目的IP地址不是VLAN虛接口的IP地址，則根據報文中的目的IP地址查找DHCP Snooping表項：

              如果查找成功，但是查找到的表項的接口和收到請求報文的接口一致，并且接口是以太網接口，則不進行應答，否則立即進行應答。

              如果查找失敗，則繼續(xù)查找ARP Snooping表項，如果查找成功，但是查找到的表項的接口和收到請求報文的接口一致，并且接口是以太網接口，則不進行應答，否則立即進行應答。

              如果兩個表均查找失敗，則直接轉發(fā)請求報文或將報文交于其他特性處理。

ARP攻擊防御

ARP協議有簡單、易用的優(yōu)點，但是也因為其沒有任何安全機制而容易被攻擊發(fā)起者利用。

              攻擊者可以仿冒用戶、仿冒網關發(fā)送偽造的ARP報文，使網關或主機的ARP表項不正確，從而對網絡進行攻擊。

              攻擊者通過向設備發(fā)送大量目標IP地址不能解析的IP報文，使得設備試圖反復地對目標IP地址進行解析，導致CPU負荷過重及網絡流量過大。

              攻擊者向設備發(fā)送大量ARP報文，對設備的CPU形成沖擊。

關于ARP攻擊報文的特點以及ARP攻擊類型的詳細介紹，請參見"ARP攻擊防范技術白皮書"。

目前ARP攻擊和ARP病毒已經成為局域網安全的一大威脅，為了避免各種攻擊帶來的危害，設備提供了多種技術對攻擊進行檢測和解決。

下面將詳細介紹一下這些技術的原理。

ARP防止IP報文攻擊功能簡介

如果網絡中有主機通過向設備發(fā)送大量目標IP地址不能解析的IP報文來攻擊設備，則會造成下面的危害：

              設備向目的網段發(fā)送大量ARP請求報文，加重目的網段的負載。

              設備會試圖反復地對目標IP地址進行解析，增加了CPU的負擔。

為避免這種IP報文攻擊所帶來的危害，設備提供了下列兩個功能：

              如果發(fā)送攻擊報文的源是固定的，可以采用ARP源抑制功能。開啟該功能后，如果網絡中某主機向設備某端口連續(xù)發(fā)送目標IP地址不能解析的IP報文，當每5秒內由此主機發(fā)出IP報文觸發(fā)的ARP請求報文的流量超過設置的閾值，那么對于由此主機發(fā)出的IP報文，設備不允許其觸發(fā)ARP請求，直至5秒后再處理，從而避免了惡意攻擊所造成的危害。

              如果發(fā)送攻擊報文的源不固定，可以采用ARP黑洞路由功能。開啟該功能后，一旦接收到目標IP地址不能解析的IP報文，設備立即產生一個黑洞路由，使得設備在一段時間內將去往該地址的報文直接丟棄。等待黑洞路由老化時間過后，如有報文觸發(fā)則再次發(fā)起解析，如果解析成功則進行轉發(fā)，否則仍然產生一個黑洞路由將去往該地址的報文丟棄。這種方式能夠有效地防止IP報文的攻擊，減輕CPU的負擔。

ARP報文限速功能簡介

ARP報文限速功能是指對上送CPU的ARP報文進行限速，可以防止大量ARP報文對CPU進行沖擊。例如，在配置了ARP Detection功能后，設備會將收到的ARP報文重定向到CPU進行檢查，這樣引入了新的問題：如果攻擊者惡意構造大量ARP報文發(fā)往設備，會導致設備的CPU負擔過重，從而造成其他功能無法正常運行甚至設備癱瘓，這個時候可以啟用ARP報文限速功能來控制上送CPU的ARP報文的速率。

推薦用戶在配置了ARP Detection、ARP Snooping、ARP快速應答、MFF，或者發(fā)現有ARP泛洪攻擊的情況下，使用ARP報文限速功能。

源MAC地址固定的ARP攻擊檢測功能簡介

本特性根據ARP報文的源MAC地址進行統(tǒng)計，在5秒內，如果收到同一源MAC地址的ARP報文超過一定的閾值，則認為存在攻擊，系統(tǒng)會將此MAC地址添加到攻擊檢測表項中。在該攻擊檢測表項老化之前，如果設置的檢查模式為過濾模式，則會打印告警信息并且將該源MAC地址發(fā)送的ARP報文過濾掉；如果設置的模式為監(jiān)控模式，則只打印告警信息，不會將該源MAC地址發(fā)送的ARP報文過濾掉。

對于網關或一些重要的服務器，可能會發(fā)送大量ARP報文，為了使這些ARP報文不被過濾掉，可以將這類設備的MAC地址配置成保護MAC，這樣，即使該MAC存在攻擊也不會被檢測過濾。

只對上送CPU的ARP報文進行統(tǒng)計。

ARP報文源MAC一致性檢查功能簡介

ARP報文源MAC一致性檢查功能主要應用于網關設備上，防御以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同的ARP攻擊。

配置本特性后，網關設備在進行ARP學習前將對ARP報文進行檢查。如果以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同，則認為是攻擊報文，將其丟棄；否則，繼續(xù)進行ARP學習。

ARP主動確認功能簡介

ARP的主動確認功能主要應用于網關設備上，防止攻擊者仿冒用戶欺騙網關設備。

啟用ARP主動確認功能后，設備在新建或更新ARP表項前需進行主動確認，防止產生錯誤的ARP表項。關于工作原理的詳細介紹請參見"ARP攻擊防范技術白皮書"。

授權ARP功能簡介

所謂授權ARP（Authorized ARP），就是根據DHCP服務器生成的租約或者DHCP中繼生成的安全表項同步生成ARP表項。

使能接口的授權ARP功能后：

              系統(tǒng)會啟動接口下授權ARP表項的老化探測功能，可以檢測用戶的非正常下線；

              系統(tǒng)會禁止該接口學習動態(tài)ARP表項，可以防止用戶仿冒其他用戶的IP地址或MAC地址對網絡進行攻擊，保證只有合法的用戶才能使用網絡資源，增加了網絡的安全性。

ARP Detection功能簡介

ARP Detection功能主要應用于接入設備上，對于合法用戶的ARP報文進行正常轉發(fā)，否則直接丟棄，從而防止仿冒用戶、仿冒網關的攻擊。

ARP Detection包含三個功能：ARP報文有效性檢查、用戶合法性檢查、ARP報文強制轉發(fā)。

ARP報文有效性檢查

對于ARP信任端口，不進行報文有效性檢查；對于ARP非信任端口，需要根據配置對MAC地址和IP地址不合法的報文進行過濾?？梢赃x擇配置源MAC地址、目的MAC地址或IP地址檢查模式。

              對于源MAC地址的檢查模式，會檢查ARP報文中的源MAC地址和以太網報文頭中的源MAC地址是否一致，一致認為有效，否則丟棄；

              對于目的MAC地址的檢查模式（只針對ARP應答報文），會檢查ARP應答報文中的目的MAC地址是否為全0或者全1，是否和以太網報文頭中的目的MAC地址一致。全0、全1、不一致的報文都是無效的，無效的報文需要被丟棄；

              對于IP地址檢查模式，會檢查ARP報文中的源IP和目的IP地址，全0、全1、或者組播IP地址都是不合法的，需要丟棄。對于ARP應答報文，源IP和目的IP地址都進行檢查；對于ARP請求報文，只檢查源IP地址。

用戶合法性檢查

對于ARP信任端口，不進行用戶合法性檢查；對于ARP非信任端口，需要進行用戶合法性檢查，以防止仿冒用戶的攻擊。

用戶合法性檢查是根據ARP報文中源IP地址和源MAC地址檢查用戶是否是所屬VLAN所在端口上的合法用戶，包括基于IP Source Guard靜態(tài)綁定表項的檢查、基于DHCP Snooping安全表項的檢查、基于802.1X安全表項的檢查和OUI MAC地址的檢查。

              首先進行基于IP Source Guard靜態(tài)綁定表項檢查。如果找到了對應源IP地址和源MAC地址的靜態(tài)綁定表項，認為該ARP報文合法，進行轉發(fā)。如果找到了對應源IP地址的靜態(tài)綁定表項但源MAC地址不符，認為該ARP報文非法，進行丟棄。如果沒有找到對應源IP地址的靜態(tài)綁定表項，繼續(xù)進行DHCP Snooping安全表項、802.1X安全表項和OUI MAC地址檢查。

              在基于IP Source Guard靜態(tài)綁定表項檢查之后進行基于DHCP Snooping安全表項、802.1X安全表項和OUI MAC地址檢查，只要符合三者中任何一個，就認為該ARP報文合法，進行轉發(fā)。其中，OUI MAC地址檢查指的是，只要ARP報文的源MAC地址為OUI MAC地址，并且使能了Voice VLAN功能，就認為是合法報文，檢查通過。

              如果所有檢查都沒有找到匹配的表項，則認為是非法報文，直接丟棄。

ARP報文強制轉發(fā)

ARP報文強制轉發(fā)功能是將ARP非信任端口接收到的已經通過用戶合法性檢查的ARP報文，按照一定的規(guī)則進行轉發(fā)的防攻擊功能，此功能不對ARP信任端口接收到的通過用戶合法性檢查的ARP報文進行限制。

對于從ARP非信任端口收到的已經通過用戶合法性檢查的合法ARP報文的處理過程如下：

              對于ARP請求報文，通過信任端口進行轉發(fā)；

              對于ARP應答報文，首先按照報文中的以太網目的MAC地址進行轉發(fā)，若在MAC地址表中沒有查到目的MAC地址對應的表項，則將此ARP應答報文通過信任端口進行轉發(fā)。

ARP自動掃描、固化功能簡介

ARP自動掃描功能一般與ARP固化功能配合使用：

              啟用ARP自動掃描功能后，設備會對局域網內的鄰居自動進行掃描（向鄰居發(fā)送ARP請求報文，獲取鄰居的MAC地址，從而建立動態(tài)ARP表項）。

              ARP固化功能用來將當前的ARP動態(tài)表項（包括ARP自動掃描生成的動態(tài)ARP表項）轉換為靜態(tài)ARP表項。通過對動態(tài)ARP表項的固化，可以有效的防止攻擊者修改ARP表項。

推薦在網吧這種環(huán)境穩(wěn)定的小型網絡中使用這兩個功能。

ARP網關保護功能簡介

在設備上不與網關相連的端口上配置此功能，可以防止偽造網關攻擊。

在端口配置此功能后，當端口收到ARP報文時，將檢查ARP報文的源IP地址是否和配置的被保護網關的IP地址相同。如果相同，則認為此報文非法，將其丟棄；否則，認為此報文合法，繼續(xù)進行后續(xù)處理。

ARP過濾保護功能簡介

本功能用來限制端口下允許通過的ARP報文，可以防止仿冒網關和仿冒用戶的攻擊。

在端口配置此功能后，當端口收到ARP報文時，將檢查ARP報文的源IP地址和源MAC地址是否和允許通過的IP地址和MAC地址相同：

              如果相同，則認為此報文合法，繼續(xù)進行后續(xù)處理；

              如果不相同，則認為此報文非法，將其丟棄。

MFF

MFF作用

在傳統(tǒng)的以太網組網方案中，為了實現不同客戶端主機之間的二層隔離和三層互通，通常采用在交換機上劃分VLAN的方法。但是當彼此間需要二層隔離的用戶較多時，這種方式會占用大量的VLAN資源；同時，為實現客戶端之間三層互通，需要為每個VLAN規(guī)劃不同的IP網段，并配置VLAN接口的IP地址，因此劃分過多的VLAN會降低IP地址的分配效率。

為了改善這種現狀，MAC-Forced Forwarding（下文統(tǒng)一用"MFF"替代）為同一廣播域內實現客戶端主機間的二層隔離和三層互通，提供了一種解決方案。

MFF截獲用戶的ARP請求報文，通過ARP代答機制，回復網關MAC地址的ARP應答報文。通過這種方式，可以強制用戶將所有流量（包括同一子網內的流量）發(fā)送到網關，使網關可以監(jiān)控數據流量，防止用戶之間的惡意攻擊，能更好的保障網絡部署的安全性。

圖 5 應用組網圖

如圖7-1所示，Switch A和Switch B作為以太網接入節(jié)點（Ethernet Access Nodes，EAN），提供了客戶端主機與匯聚節(jié)點（Switch C）之間的連接。在以太網接入節(jié)點上配置MFF功能，可以使客戶端的數據報文交互全部通過網關轉發(fā)，實現了客戶端之間的三層互通，又保證了二層數據的隔離。

MFF通常與DHCP Snooping、ARP Snooping、IP Source Guard、ARP Detection、VLAN映射等功能配合使用，在接入層交換機上實現客戶端的流量過濾、二層隔離和三層互通，提高接入層網絡的安全性。

MFF端口角色

MFF特性包括兩種端口角色：用戶端口及網絡端口。

用戶端口

MFF的用戶端口是指直接接入網絡終端用戶的端口。

用戶端口上對于不同的報文處理如下：

              允許組播報文和DHCP報文通過；

              對于ARP報文則上送CPU進行處理；

              若已經學習到網關MAC地址，則僅允許目的MAC地址為網關MAC地址的單播報文通過，其他報文都將被丟棄；若沒有學習到網關MAC地址，目的MAC地址為網關MAC地址的單播報文也被丟棄。

網絡端口

MFF的網絡端口是指連接其他網絡設備如接入交換機、匯聚交換機或網關的端口。

網絡端口上對于不同的報文處理如下：

              允許組播報文和DHCP報文通過；

              對于ARP報文則上送CPU進行處理；

              拒絕其他廣播報文通過。

MFF運行模式

MFF特性包括兩種運行模式：手工方式和自動方式。

手工方式

手工方式應用于用戶靜態(tài)配置IP地址的場景中，這是因為在用戶靜態(tài)配置IP地址時，無法通過DHCP報文來獲取網關信息。另外，在用戶靜態(tài)配置IP時，由于沒有依據進行用戶與網關的映射，因此僅維護缺省網關的MAC地址，即，一個VLAN下僅維護一個網關MAC地址。

使能了手工方式后，MFF代答網關對用戶的ARP請求，以及偽造ARP請求探測網關MAC的依據都是ARP Snooping表項。

若在MFF學習到缺省網關MAC地址后，收到來自網關的攜帶了與記錄的MAC地址不同的源MAC地址的ARP報文，則需要更新記錄的網關MAC地址。

自動方式

自動方式應用于用戶通過DHCP協議動態(tài)獲取IP地址的場景中。DHCP Snooping功能通過偵聽DHCP ACK報文，并解析其中的Option 3字段（Router IP）來獲取網關IP地址。

在使能MFF自動方式時，每一個DHCP Snooping用戶綁定表項都應該有相對應的唯一網關IP地址。若DHCP ACK報文攜帶多個網關IP地址，則只記錄第一個。若學習到的用戶綁定表項不包含網關IP地址，或者沒有記錄在用戶綁定表項中，則自動方式會根據當前VLAN記錄的第一個網關作為用戶網關應答該用戶的ARP請求，除非其請求的是一個已知的網關地址。

同時，針對每一個網關IP地址，從第一個與其對應的用戶綁定表項中獲取用戶IP地址及MAC地址，封裝并偽造ARP請求，用于探測網關的MAC地址。

    自動方式下，一個VLAN內最多可以學習并維護20個網關信息，超過此限制的網關不再學習及處理。網關IP獲取之后不會進行更新，即網關信息一旦生成就不會老化，除非去使能MFF。

    若在MFF學習到網關MAC地址后，收到來自網關的ARP報文，攜帶了與記錄MAC地址不同的源MAC地址，則需要更新記錄的網關MAC地址。

MFF工作機制

用戶之間的三層互通是通過類似代理ARP的ARP代答機制保證。另外，這種代答機制也在一定程度上減少了網絡側和用戶側之間的廣播報文數量。

針對ARP報文，MFF具體進行以下處理：

              代答用戶ARP請求。替代網關給用戶主機回應ARP報文，使用戶之間的報文交互都通過網關進行三層轉發(fā)。這里，用戶主機的ARP請求，既包含對于網關的請求，也包含對于其他用戶IP的ARP請求。

              代答網關ARP請求。替代用戶主機給網關回應ARP報文。如果網關請求的表項在MFF設備上存在，就根據表項進行代答。如果表項還沒有建立，則轉發(fā)請求。以便達到減少廣播的目的。

              轉發(fā)用戶主機和網關發(fā)來的ARP應答。

              監(jiān)聽網絡中的ARP報文。更新網關IP地址和MAC地址對應表并廣播。