静态ARP释义和实例

定义
静态ARP表项是由网络管理员手工建立的IP地址和MAC地址之间固定的映射关系。静态ARP表项不会被老化,不会被动态ARP表项覆盖。
分类
静态ARP表项分为短静态ARP表项和长静态ARP表项。
短静态ARP表项:手工建立IP地址和MAC地址之间固定的映射关系,未同时指定VLAN和出接口。
如果出接口是处于二层模式的以太网接口,短静态ARP表项不能直接用于报文转发。当需要发送报文时,设备会先发送ARP请求报文,如果收到的ARP应答报文中的源IP地址和源MAC地址与所配置的IP地址和MAC地址相同,则将收到ARP应答报文的VLAN和接口加入该静态ARP表项中,后续设备可直接用该静态ARP表项转发报文。
长静态ARP表项:手工建立IP地址和MAC地址之间固定的映射关系,并同时指定该ARP表项所在VLAN和出接口。
长静态ARP表项可以直接用于报文转发。建议用户采用长静态ARP表项。
应用场景
正常情况下网络中设备可以通过ARP协议进行ARP表项的动态学习,生成的动态ARP表项可以被老化,可以被更新。但是当网络中存在ARP攻击时,设备中动态ARP表项可能会被更新成错误的ARP表项,或者被老化,造成合法用户通信异常。静态ARP表项不会被老化,也不会被动态ARP表项覆盖,可以保证网络通信的安全性。静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址,此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系,从而保护了本端设备和对端设备间的正常通信。一般在网关设备上配置静态ARP表项。
对于以下场景,用户可以配置静态ARP表项。
对于网络中的重要设备,如服务器等,可以在交换机上配置静态ARP表项。这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新,从而保证用户与重要设备之间正常通信。
当网络中用户设备的MAC地址为组播MAC地址时,可以在交换机上配置静态ARP表项。缺省情况下,设备收到源MAC地址为组播MAC地址的ARP报文时不会进行ARP学习。
当希望禁止某个IP地址访问设备时,可以在交换机上配置静态ARP表项,将该IP地址与一个不存在的MAC地址进行绑定。

实例

组网需求

如图1所示,企业通过Switch实现各个部门之间的互连,且各个部门加入不同的VLAN。总裁办公室和文件备份服务器通过手工方式分配到固定IP地址,其他部门通过DHCP方式动态分配到IP地址。由于市场部拥有访问外网的权利,主机经常会感染ARP病毒,攻击Switch并修改Switch上的动态ARP表项,造成总裁办公室与外界的通信中断以及各个部门不能正常访问文件备份服务器。公司希望在Switch上配置静态ARP表项,以保证总裁办公室与外界的通信安全,并保证各个部门能正常访问文件备份服务器。

图1 配置静态ARP组网图

 

82cdea07719017cc63ebd44cf904f409.png

配置思路
静态ARP的配置思路如下:
1. 在Switch上为总裁办公室主机配置静态ARP表项,防止总裁办公室主机的ARP表项被ARP攻击报文修改,造成总裁办公室与外界的通信中断。
2. 在Switch上为文件备份服务器配置静态ARP表项,防止文件备份服务器的ARP表项被ARP攻击报文修改,造成各个部门不能正常访问文件备份服务器。
操作步骤
1. 在Switch上创建VLAN,并配置各接口的IP地址
# 创建VLAN10,将接口加入VLAN10,并配置接口VLANIF10的IP地址。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.164.1.20 24
[Switch-Vlanif10] quit
# 创建VLAN40,将接口加入VLAN40,并配置接口VLANIF40的IP地址。
[Switch] vlan batch 40
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 40
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface vlanif 40
[Switch-Vlanif40] ip address 10.164.10.10 24
[Switch-Vlanif40] quit
2. 在Switch上配置静态ARP表项
3. [Switch] arp static 10.164.1.1 00e0-fc01-0001 vid 10 interface gigabitethernet 0/0/1
[Switch] arp static 10.164.10.1 0df0-fc01-003a vid 40 interface gigabitethernet 0/0/2
4. 验证配置结果
# 执行命令display arp static,查看已配置的静态ARP表项。
[Switch] display arp static
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN
——————————————————————————
10.164.1.1 00e0-fc01-0001 S– GE0/0/1
10
10.164.10.1 0df0-fc01-003a S– GE0/0/2
40
——————————————————————————
Total:2 Dynamic:0 Static:2 Interface:0
配置文件
Switch的配置文件。
#
sysname Switch
#
vlan batch 10 40
#
interface Vlanif10
ip address 10.164.1.20 255.255.255.0
#
interface Vlanif40
ip address 10.164.10.10 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 40
#
arp static 10.164.1.1 00e0-fc01-0001 vid 10 interface GigabitEthernet0/0/1
arp static 10.164.10.1 0df0-fc01-003a vid 40 interface GigabitEthernet0/0/2
#
return

您可能还喜欢...