undo arp anti-attack valid-check enable命令用于关闭ARP源MAC地址一致性检查功能。
【举例】
# 开启交换机ARP报文源MAC地址一致性检查功能。
<sysname>system-view
[sysname] arp anti-attack valid-check enable
2、gratuitous-arp-learning enable命令用来开启免费ARP报文的学习功能。开启该功能后,交换机对于收到的免费ARP报文,如果自身ARP表中没有与此报文源IP地址对应的ARP表项,就将免费ARP报文中携带的源IP地址,源MAC地址信息添加到动态ARP映射表中。
undo gratuitous-arp-learning enable命令用来关闭免费ARP报文的学习功能。
3、arp static命令用来配置ARP映射表中的静态ARP表项。
undo arp命令用来删除ARP表项。
4、arp check enable命令用来开启ARP表项的检查功能。
undo arp check enable命令用来关闭ARP表项的检查功能。
5、arp timer aging命令用来配置动态ARP表项的老化时间。
undo arp timer aging命令用来恢复动态ARP表项的老化时间为缺省值。
6、display arp命令用来显示ARP表项。当不带任何可选参数的时候,将显示所有ARP表项。
display arp | 命令用来显示指定内容的ARP表项。
display arp count命令用来显示指定类型的ARP表项的数目;当不带任何可选参数时,用来显示所有ARP表项的数目。
display arp timer aging命令用来显示动态ARP表项的老化时间。
7、reset arp命令用来清除符合条件的ARP表项。
【举例】
# 清除静态ARP表项。
<Sysname>reset arp static
在cisco交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,即ip与mac地址的绑定和ip与交换机端口的绑定。
一、通过IP查端口
先查Mac地址,再根据Mac地址查端口:
bangonglou3#show arp | include 208.41 或者show mac-address-table 来查看整个端口的ip-mac表
Internet 10.138.208.41 4 0006.1bde.3de9 ARPA Vlan10
bangonglou3#show mac-add | in 0006.1bde 10 0006.1bde.3de9 DYNAMIC Fa0/17
bangonglou3#exit
二、ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不通:
(tcp/udp协议不同,但netbios网络共项可以访问),具体做法:
cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了
三、ip与交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。有效的防止了乱改ip。
cisco(config)# interface FastEthernet0/17
cisco(config-if)# ip access-group 6 in
cisco(config)#access-list 6 permit 10.138.208.81
这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。
交换(switching)是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术的统称。交换机根据工作位置的不同,可以分为广域网交换机和局域网交换机。广域的交换机(switch)就是一种在通信系统中完成信息交换功能的设备,它应用在数据链路层。交换机有多个端口,每个端口都具有桥接功能,可以连接一个局域网或一台高性能服务器或工作站。实际上,交换机有时被称为多端口网桥。 [1]
在计算机网络系统中,交换概念的提出改进了共享工作模式。而HUB集线器就是一种物理层共享设备,HUB本身不能识别MAC 地址和IP地址,当同一局域网内的A主机给B主机传输数据时,数据包在以HUB为架构的网络上是以广播方式传输的,由每一台终端通过验证数据报头的MAC地址来确定是否接收。也就是说,在这种工作方式下,同一时刻网络上只能传输一组数据帧的通讯,如果发生碰撞还得重试。这种方式就是共享网络带宽。通俗的说,普通交换机是不带管理功能的,一根进线,其他接口接到电脑上就可以了。 [1]
在今天,交换机以更多的却是以应用需求为导向,在选择方案和产品时用户还非常关心如何有效保证投资收益。在用户提出需求后,由系统集成商或厂商来为其需求来提供相应的服务,然后再去选择相应的技术。这点是在网络方面表现尤其明显,广大用户,不论是重点行业用户还是一般的企业用户,在应用IT技术方面更加明智,也更加稳健。此外,宽带的广泛应用、大容量视频文件的不断涌现等等都对网络传输的中枢--交换机的性能提出了新的要求。 [1]
据《2013-2018年中国交换机市场竞争格局及投资前景评估报告》中显示:随着网络的发展从技术驱动应用,转为从应用选择技术;网络的融合也从理论走向实践;网络的安全越来越受到重视。而交换网络的智能化提供了解决这些问题的方法。网络将在综合应用、速度和覆盖范围等方面继续发展。
互联网或者任何IP网络中,运行IP协议的任何一台主机或者网络设备上都有一个ARP表,它记录着本网络中IP地址和MAC地址的映射,这个表由ARP协议自动管理和维护,也可手动添加删除和更新表项,如果ARP表出现错误,那数据传输将寸步难行。下面我们深入讨论它的重要性。
1.为什么需要ARP
这得从TCP/IP网络体系的数据流动说起。下图是TCP/IP体系结构的简单描述,也是TCP/IP相关协议关系的描述。
最下层为网络接口层,实质上TCP/IP对网络接口层没有任何的规定,网络接口层(对应标准参考模型OSI的物理层和数据链路层)实际是各种局域网、广域网技术,比如以太网、令牌环网、无限局域网、4G网络、5G网络等等。这些物理网络技术仅实现物理层和数据链路层的功能,在各自的网络内实现数据传输,采用各自的网络技术在网络内解决主机到主机的数据(帧)传输问题,这些物理网络技术一般采用硬件地址标识主机或网络节点,或者叫媒体访问控制地址(MAC地址)。
而TCP/IP中的IP协议利用IP地址进行寻址,一方面把各种网络技术统一起来,屏蔽了这些物理网络技术之间的差异性,另一方面通过路由协议实现了多种网络、多个网络的互连。IP协议的英文全称是Internet protocol,直接翻译即为网络互联协议。数据从IP层到数据链路层的转发就必然需要IP地址到物理地址(MAC地址)的转换,这就需要ARP地址解析协议来完成。
从上图,我们能清晰的知道,互联网上任何两台电脑上的应用程序A和B(准确地说是进程:运行着的程序)之间要进行通信,必然要经过如下的过程:A若要传输数据到B,A将数据按照应用层协议封装数据报文,交给TCP或者UDP封装成传输层数据报文,再由IP协议封装成IP数据包,交给数据链路层封装数据帧,在封装数据帧时,会判断B的IP地址和A是否在同一个IP网络内(判断方法用B的IP地址和A的子网掩码按位相与得出一个网络号,再与A的网络号相比较,相等则在同一子网),如果在同一子网内,A则需要知道B的MAC地址,才能进行数据帧的封装,如果不知道,就需要运行ARP协议,来广播查询B的MAC地址;查询到B的MAC地址后即可进行帧的封装,然后交给物理层进行bit流的传输。如果不在同一个网络内,A则按本机的IP路由表的指示将数据转发给目标IP地址C,同样需要使用C的MAC地址封装为数据帧,如果不知道C的MAC地址,也需要利用ARP协议进行广播查询。当数据帧到达目标主机B后,各层进行数据解封装,向上层传递相应数据,最终达到应用程序。
如果没有ARP表,在进行数据帧封装时就找不到目标IP地址对应的物理地址(MAC地址),因此维护正确的ARP表是极为重要的。不管利用WiFi还是以太网,或者4G、5G、FTTH等方式上网,都需要ARP协议的支撑,否则数据将无法传输。
2、如何管理维护ARP表
在Windows系统中,可以使用ARP命令来查看、管理本机的ARP表项。这里介绍三种用法。
(1)查看ARP表:arp -a
在命令窗口中,输入该命令,显示结果为:
其显示的有动态和静态2种类型,动态类型是系统ARP协议动态添加的,比如192.168.1.1,是本机的网关地址,其物理地址为ec-f8-eb-e7-6b-00。静态类型中的192.168.1.255是本网广播地址,对应的MAC地址为所有位全1,代表物理网络广播,当运行ARP协议解析某个IP地址时,用ff-ff-ff-ff-ff-ff作为数据链路层的广播地址。224、239开头的静态地址为组播地址,一般视频直播等应用使用该地址。255.255.255.255是默认广播地址。
(2)添加静态的ARP表项:arp -s 192.168.1.6 00-aa-00-62-c6-09
该命令在windows 10环境中需要管理员权限,可以运行powershell,开始菜单按右键,选择windows powershell,然后输入该命令。
运行成功系统没有任何提示,可以运行arp –a查看添加的表项,如下图。
(3)删除静态的ARP表项:arp -d 192.168.1.6
该命令在windows 10环境中也需要管理员权限。运行正确后系统无任何提示,表示删除成功。-d参数后只需要写将要删除的IP地址。
扩展:默认网关地址表项对于我们访问互联网极其重要,它是默认路由地址。网络中有时存在arp攻击(比如ARP病毒),其原理是:发送错误的默认网关ARP表项给目标主机,目标主机会更新该表项,导致目标主机默认网关的ARP表项错误,访问外网的所有数据帧被转发给错误的MAC地址,造成网络不可访问。如果出现这种问题,可以使用此命令手动方式添加静态的网关地址表项,保证正确数据转发。
MAC地址:MAC地址也叫物理地址、硬件地址,由网络设备制造商生产时烧录在网卡上的固定地址,我们笔记本电脑的无线网卡、手机中均有MAC地址。MAC地址的长度为48位(6个字节),通常表示为12个16进制数,其中前6个16进制数代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后6位16进制数AE-3C-40代表该制造商所制造的某个网络产品(如网卡)的系列号。只要不更改自己的MAC地址,MAC地址在世界上是唯一的。就如前面所讲的,MAC地址是数据链路层的地址,在网络中标识一个网络节点,数据帧结构中一般含有目的MAC,源MAC。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)