加入收藏 | 设为首页 | 会员中心 | 我要投稿 晋中站长网 (https://www.0354zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 运营中心 > 网站设计 > 教程 > 正文

网络工程师必须了解的ARP知识

发布时间:2019-07-18 17:19:07 所属栏目:教程 来源:攻城狮成长之路
导读:动态ARP表项学习 大多数情况下,设备可以通过ARP协议动态学习和更新ARP表项。设备是如何进行动态学习的呢?其实动态ARP主要是通过广播ARP请求报文和单播ARP应答报文这两个过程完成地址解析的。 例如:小A和小C在一次聚会上互留了IP地址。如上图所示,小A需

缺省情况下,为了保证CPU的正常运行,交换机对每种上送CPU的协议报文都设置了CPCAR值,对于超过CPCAR值的报文就会被丢弃。如果非法用户发送大量的ARP报文,就会导致合法用户的ARP报文无法上送CPU,也就无法正常生成ARP表项。

(1) ARP报文限速功能

基于源MAC地址对ARP报文限速。

  1. [HUAWEI] arp speed-limit source-mac maximum 10 //对于任意MAC地址,每秒最多允许10个ARP报文通过 

基于源IP地址对ARP报文限速。

  1. [HUAWEI] arp speed-limit source-ip maximum 10 //对于任意IP地址,每秒最多允许10个ARP报文通过 

基于全局对ARP报文限速。

  1. [HUAWEI] arp anti-attack rate-limit enable //开启ARP限速功能 
  2. [HUAWEI] arp anti-attack rate-limit packet 200 interval 10 //指定设备在10秒钟内最多允许上送200个ARP报文,超过限速值则丢弃 

基于VLAN对ARP报文限速。

  1. [HUAWEI-vlan3] arp anti-attack rate-limit enable //开启ARP限速功能 
  2. [HUAWEI-vlan3] arp anti-attack rate-limit packet 200 interval 10 //指定VLAN3在10秒钟内最多允许上送200个ARP报文,超过限速值则丢弃 

基于接口对ARP报文限速。

  1. [HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit enable //开启ARP限速功能 
  2. [HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit packet 200 interval 10 //指定接口GE0/0/1在10秒钟内最多允许上送200个ARP报文,超过限速值则丢弃 

(2) ARP Miss消息限速功能

如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。这种触发ARP Miss消息的IP报文会被上送到CPU进行处理,设备会根据ARP Miss消息生成和下发大量临时ARP表项并向目的网络发送大量ARP请求报文,这样就增加了设备CPU的负担。

通过对ARP Miss消息进行限速,可以减少设备CPU的负担,这样合法用户的ARP报文就有可能会被上送处理。

基于源IP地址的ARP Miss消息限速。

  1. [HUAWEI] arp-miss speed-limit source-ip maximum 60 //允许设备每秒最多处理同一个源IP地址触发的60个ARP Miss消息 

在全局对ARP Miss消息限速。另外也可以基于VLAN或接口对ARP Miss消息限速。

  1. [HUAWEI] arp-miss anti-attack rate-limit enable //开启ARP Miss限速功能 
  2. [HUAWEI] arp-miss anti-attack rate-limit packet 200 interval 10 //指定设备在10秒钟内最多允许上送200个ARP Miss消息,超过限速值则丢弃 

(3) 出口ARP检测功能

出口ARP检测就是通过减少VLAN内广播报文较少CPU的负担。其核心原理是根据DHCP Snooping表查找目的IP地址对应的出接口,将ARP请求报文直接从查找到的出接口发送出去,减少VLAN内广播的ARP报文,从而减少CPU的负担。

出口ARP检测功能主要是为了减少网关设备处理的ARP报文个数。如图1所示,通过在L2switch上使能出口ARP检测功能,可以在L2switch广播ARP请求报文之前,查找DHCP Snooping绑定表,如果能够找到ARP报文中目的IP地址对应的出接口,则将ARP请求报文从找到的出接口发送出去,有效减少网关收到的ARP请求报文数量。

网络工程师必须了解的ARP知识

出口ARP检测功能配置方法如下:

  1. [L2switch] dhcp enable //全局使能DHCP功能 
  2. [L2switch] dhcp snooping enable //全局使能DHCP Snooping功能 
  3. [L2switch] vlan 10  
  4. [L2switch-vlan10] dhcp snooping enable  
  5. [L2switch-vlan10] dhcp snooping arp security enable //使能出口ARP检测功能 

2. 保证ARP表项的正确性

(1) 防止仿冒网关攻击

提供下面几种方法防止仿冒网关的攻击

网络工程师必须了解的ARP知识

配置方法如下:

配置网关定时发送免费ARP报文。

  1. [Gateway] arp gratuitous-arp send enable //使能发送免费ARP报文,默认是发送时间间隔是30秒 

配置ARP防网关冲突检测。

  1. [Gateway] arp anti-attack gateway-duplicate enable 

(编辑:晋中站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.0354zz.com/ All Rights Reserved. 晋中站长网