免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

如何進行IP和MAC地址綁定，以防范ARP欺騙？

用路由器做地址轉換，上網(wǎng)頻繁掉線，此時將PC機的網(wǎng)卡禁用一下或?qū)C機重啟一下又可以上網(wǎng)了，并且不能上網(wǎng)時ping PC機的網(wǎng)關不通。這種情況一般來說,都是中了ARP欺騙病毒，可以通過以下方法進行防范。 方法1：在路由器上靜態(tài)綁定PC機的IP地址和MAC地址，在PC機上綁定路由器內(nèi)網(wǎng)口的IP地址和MAC地址。 (1) PC機重啟后，靜態(tài)配置的arp表項會丟失，需要重新配置，可以在PC機上制作一個.bat的批處理文件，放到啟動項中。 (2) arp send-gratuitous-arp并非所有產(chǎn)品均支持，請查詢網(wǎng)站上的配置手冊和命令手冊，確認您所使用的產(chǎn)品是否支持該功能。 (3) ARP固化并非所有產(chǎn)品均支持，請確認您所使用的產(chǎn)品是否支持該功能。 2. 什么是自然網(wǎng)段ARP，如何理解？自然網(wǎng)段的ARP的命令是在系統(tǒng)視圖下執(zhí)行naturemask-arp enable（默認是不使能的）；在學習ARP表項時，若發(fā)現(xiàn)ARP報文的源IP地址和入接口IP地址不在同一網(wǎng)段后，則使用自然網(wǎng)段進行判斷。 假設Vlan-interface1000接口的IP地址為3.3.3.2/24，收到一個源IP地址為3.4.4.3的ARP報文，由于兩個IP地址不在同一網(wǎng)段，Vlan-interface1000接口無法處理這個報文。如果使能支持自然網(wǎng)段的ARP請求功能，則通過自然網(wǎng)段進行判斷，由于Vlan-interface1000接口的IP地址為A類地址，因此默認掩碼應該為8位，于是兩個IP地址就在同一個網(wǎng)段，Vlan-interface1000接口就可以學習源IP地址為3.4.4.3的ARP表項了。 3. 什么是免費ARP，如何理解？免費ARP報文是一種特殊的ARP報文，該報文中攜帶的發(fā)送者IP地址和目標IP地址都是本機IP地址，發(fā)送者MAC地址是本機MAC地址，目標MAC地址是廣播地址。 (1) 設備通過對外發(fā)送免費ARP報文，實現(xiàn)以下功能： l 確定其它設備的IP地址是否與本機IP地址沖突。 l 設備改變了接口MAC 地址，通過發(fā)送免費ARP報文通知其他設備更新ARP表項。 l 命令行打開gratuitous-arp-sending enable（默認此功能關閉）后，設備收到非同一網(wǎng)段的ARP請求時發(fā)送免費ARP。 (2) 設備通過學習免費ARP報文，命令行為gratuitous-arp-learning enable（默認此功能打開），實現(xiàn)以下功能：對于收到的免費ARP 報文，如果ARP 表中沒有與此報文對應的ARP表項，就將免費ARP報文中攜帶的信息添加到本地動態(tài)ARP映射表中。 4. 什么是ARP 源抑制，如何理解？如果網(wǎng)絡中有主機通過向設備發(fā)送大量目標IP地址不能解析的IP報文來攻擊設備，則會造成下面的危害： (1) 設備向目的網(wǎng)段產(chǎn)生大量ARP請求報文，加重設備的負載。 (2) 設備會不斷解析目標IP地址，增加了CPU 的負擔。 為避免這種大量目標IP不能解析的IP報文攻擊所帶來的危害，設備提供了ARP源抑制功能，命令行為arp source-suppression enable（默認此功能關閉），當開啟該功能后，如果網(wǎng)絡中某主機向設備某端口連續(xù)發(fā)送目標IP地址不能解析的IP報文，當每5秒內(nèi)對該目的IP 解析的ARP 的流量超過設置的閾值，系統(tǒng)就會丟棄由此端口進入的與發(fā)送者IP 地址相同的報文，直至5秒后再處理，從而避免了惡意攻擊所造成的危害。 5. 什么是ARP黑洞路由，如何理解？所謂ARP黑洞路由，是設備防IP報文攻擊一種功能；在進行IP報文轉發(fā)過程中，設備需要依靠ARP解析下一跳IP地址的MAC地址。如果地址解析成功，報文可以直接通過硬件轉發(fā)芯片直接轉發(fā)出去，而不需要再由軟件處理；如果地址解析不成功，需要由軟件進行解析處理。這樣，如果接收到大量下一跳IP地址循環(huán)變化并且該IP地址不可達的IP報文，由于下一跳IP地址解析不成功，平臺會一直發(fā)ARP請求報文試圖解析不可達的目的IP，大量的ARP請求導致CPU負荷過重，就造成了IP報文對設備的攻擊。 可以通過配置ARP黑洞路由，即防IP報文攻擊功能來預防這種可能存在的攻擊情況，命令行為arp resolving-route enable，在防IP報文攻擊功能啟用后，一旦接收到下一跳地址不可達的IP 報文（即ARP解析失敗的IP報文），設備立即產(chǎn)生一個黑洞路由，黑洞路由表項可以在隱藏模式下通過命令_display arp dummy進行查看，使硬件轉發(fā)芯片在一段時間內(nèi)將去往該地址的報文直接丟棄。等待黑洞路由老化時間過后，如有報文觸發(fā)則再次發(fā)起解析，如果解析成功則由硬件進行轉發(fā)，否則仍然下發(fā)黑洞路由。這種方式能夠有效的防止IP報文的攻擊，減輕CPU的負擔。 6. 什么是代理ARP，如何理解？如果ARP 請求是從一個網(wǎng)絡的主機發(fā)往同一網(wǎng)段卻不在同一物理網(wǎng)絡上的另一臺主機，那么連接它們的具有代理ARP功能的設備就可以回答該請求，這個過程稱作代理ARP（Proxy ARP）。 代理ARP分為代理ARP和本地代理ARP。 同一網(wǎng)段內(nèi)連接到設備的不同接口的主機可以利用設備的代理ARP 功能，命令行為proxy-arp enable（默認此功能關閉），從而通過三層轉發(fā)實現(xiàn)互通。 為了實現(xiàn)三層互通，在下面三種情況之一需要開啟本地代理ARP 功能，命令行為 local-proxy-arp enable（默認此功能關閉）， (1) 連接到同一個VLAN 不同二層隔離的端口下的設備要實現(xiàn)三層互通； (2) 使能Super VLAN功能后，屬于不同Sub VLAN下的設備要實現(xiàn)三層互通； (3) 使能Isolate-user-vlan功能后，屬于不同Second VLAN下的設備要實現(xiàn)三層互通。 7. ARP 的老化時間是如何處理的？ ARP老化時間的主要作用是：防止arp表項在沒有使用的情況下一直占用資源。設置老化時間是為了方便用戶靈活配置，當系統(tǒng)學習到一個動態(tài)ARP表項時，它的老化時間點以當前配置的老化時間計算，然后進行最后一分鐘老化。 老化時間配置為30分鐘（arp timer aging 30），當表項的老化時間變成18分鐘的時候，再配置一遍老化時間為30分鐘，為什么表項中的老化時間還是18分鐘；而配置老化時間為其它值（如：配置為100分鐘的時候），表項中的老化時間才會進行相應的變化？ 當配置值沒有發(fā)生變化時，老化時間不需要處理，所以老化時間仍然按照原值進行老化，當新配置與原配置不一致時，才會對老化時間進行處理；如果新配置的老化時間大于原配置的老化時間，則用新配置的老話時間減去已經(jīng)老化掉的時間就為應該顯示的老化時間；如果新配置的老化時間小于原配置的老化時間，則用新配置的老話時間減去已經(jīng)老化掉的時間就為應該顯示的老化時間，但是最低老化時間不小于1分鐘。

本站僅提供存儲服務，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權內(nèi)容，請點擊舉報。