位址解析協定(Address Resolution Protocol,ARP)是在僅知道主機的IP位址時确定其實體位址的一種協定。因IPv4和以太網的廣泛應用,其主要作用是通過已知IP位址,擷取對應實體位址的一種協定。但其也能在ATM(異步傳輸模式)和FDDIIP(Fiber Distributed Data Interface光纖分布式資料接口)網絡中使用。從IP位址到實體位址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是将網絡層(IP層,也就是相當于OSI的第三層)位址解析為資料鍊路層(MAC層,也就是相當于OSI的第二層)的MAC位址。
在網絡層
arp位址解析工作過程 通過資料包目标ip位址 ---》如果,緩存中有的話找到目标mac位址進行封裝,不存在的話它就會發廣播找到,舉例如下:
在TCP/IP協定中,A給B發送IP包,在報頭中需要填寫B的IP為目标位址,但這個IP包在以太網上傳輸的時候,還需要進行一次以太包的封裝,在這個以太包中,目标位址就是B的MAC位址。
計算機A是如何得知B的MAC位址的呢?解決問題的關鍵就在于ARP協定。
在A不知道B的MAC位址的情況下,A就廣播一個ARP請求包,請求包中填有B的IP(192.168.1.2),以太網中的所有計算機都會接收這個請求,而正常的情況下隻有B會給出ARP應答包,包中就填充上了B的MAC位址,并回複給A。A得到ARP應答後,将B的MAC位址放入本機緩存,便于下次使用。本機MAC緩存是有生存期的,生存期結束後,将再次重複上面的過程。
ARP協定并不隻在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答資料包的時候,就會對本地的ARP緩存進行更新,将應答中的IP和MAC位址存儲在ARP緩存中。是以,當區域網路中的某台機器B向A發送一個自己僞造的ARP應答,而如果這個應答是B冒充C僞造來的,即IP位址為C的IP,而MAC位址是僞造的,則當A接收到B僞造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP位址沒有變,而它的MAC位址已經不是原來那個了。由于區域網路的網絡流通不是根據IP位址進行,而是按照MAC位址進行傳輸。是以,那個僞造出來的MAC位址在A上被改變成一個不存在的MAC位址,這樣就會造成網絡不通,導緻A不能Ping通C!這就是一個簡單的ARP欺騙。
arp可以實作ip位址和mac位址的綁定,使用的指令如下:
arp static ip位址 mac位址
優點:避免廣播
安全
RARP(逆向ARP)經常在無盤工作站上使用,以獲得它的邏輯IP位址。
rarp 自己mac ---》自己ip
端口隔離
是為了實作封包之間的二層隔離,可以将不同的端口加入不同的VLAN,但會浪費有限的VLAN資源。采用端口隔離特性,可以實作同一VLAN内端口之間的隔離。使用者隻需要将端口加入到隔離組中,就可以實作隔離組内端口之間二層資料的隔離。端口隔離功能為使用者提供了更安全、更靈活的組網方案。
目前有些裝置隻支援一個隔離組(以下簡稱單隔離組),由系統自動建立隔離組1,使用者不可删除該隔離組或建立其它的隔離組。有些裝置支援多個隔離組(以下簡稱多隔離組),使用者可以手工配置。不同裝置支援的隔離組數不同,請以裝置實際情況為準。
隔離組内可以加入的端口數量沒有限制。
端口隔離特性與端口所屬的VLAN無關。對于屬于不同VLAN的端口,隻有同一個隔離組的普通端口到上行端口的二層封包可以單向通過,其它情況的端口二層資料是互相隔離的。
端口隔離技術在H3C交換機上的實作
system-view 進入系統視圖
interface interface-type interface-number 進入以太網端口視圖
port isolate 将以太網端口加入到隔離組中
端口隔離技術在H3C交換機上實作很強,使用也友善,上述的三條指令就可以實作相應端口之間隔離。
交換機H3C
1、二層 一個隔離組
端口隔離:
int 端口ID
port isolate
這種情況是,隻要被隔離的端口兩兩都不能通信,有局限性。
2、三層 多個隔離組 【am】
端口隔離:
am enable(啟動am功能)
int 端口ID
am isolate 要隔離的端口。跟指定的端口進行隔離(不需要在指定的端口上再配置端口隔離)
端口+ip綁定:
am enable
int 端口ID
am ip-pool ip位址(可以寫指定ip,也可以使用後跟數字指定範圍)