S交换机arp严格学习概述

[复制链接]
发表于 : 2015-2-13 11:55:48 最新回复:2019-12-06 21:34:18
4099 5
user_2789849
user_2789849  新锐

ARP表项严格学习

如果大量用户在同一时间段内向设备发送大量ARP报文,或者攻击者伪造正常用户的ARP报文发送给设备,则会造成下面的危害:

  • 设备因处理大量ARP报文而导致CPU负荷过重,同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽,造成合法用户的ARP报文不能继续生成ARP条目,进而导致用户无法正常通信。

  • 伪造的ARP报文将错误地更新设备的ARP表项,导致用户无法正常通信。

为避免上述危害,可以在网关设备上部署ARP表项严格学习功能。

ARP表项严格学习是指只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样,可以拒绝大部分的ARP报文攻击。

图1 ARP表项严格学习
S交换机arp严格学习概述-1349729-1

如图1所示。通常情况下,当UserA向Gateway发送ARP请求报文后,Gateway会向UserA回应ARP应答报文,并且添加或更新UserA对应的ARP表项。当Gateway配置ARP表项严格学习功能以后:
  • 对于Gateway收到UserA发送来的ARP请求报文,Gateway不添加也不更新UserA对应的ARP表项。如果该请求报文请求的是Gateway的MAC地址,那么Gateway会向UserA回应ARP应答报文。

  • 如果Gateway向UserB发送ARP请求报文,待收到与该请求对应的ARP应答报文后,Gateway会添加或更新UserB对应的ARP表项。

  • x
  • 常规:

点评 回复

跳转到指定楼层
wsn_0511
wsn_0511   发表于 2015-2-14 11:27:00 已赞(0) 赞(0)

图片怎么没有显示出来呢?
  • x
  • 常规:

点评 回复

员Lemon
员Lemon  专家 发表于 2015-2-13 15:40:21 已赞(0) 赞(0)

多谢楼主分享~~
  • x
  • 常规:

点评 回复

user_2792099
user_2792099  新锐 发表于 2015-3-19 14:18:45 已赞(0) 赞(0)

 使能设备的arp严格学习功能的配置命令

<Quidway>system-view

 Enter system view, return user view with Ctrl+Z.

 [Quidway]arp learning strict

  • x
  • 常规:

点评 回复

瞌睡虫甲
瞌睡虫甲   发表于 2015-4-3 02:56:32 已赞(0) 赞(0)

那是不是一旦收到CLIENT发送的ARP请求,主机会主动发送一个新的ARP请求呢?否则,主机就永远学不到CLIENT的ARP表项了。

  • x
  • 常规:

点评 回复

鱼板
鱼板   发表于 2019-12-6 21:34:18 已赞(0) 赞(0)

瞌睡虫甲 发表于 2015-04-03 02:56 那是不是一旦收到CLIENT发送的ARP请求,主机会主动发送一个新的ARP请求呢?否则,主机就永远学不到CLIENT的 ...
虽然时隔多年但功能和原理是一样的,我也觉得开了严格学习,只有交换机主动发送arp请求客户机回应了才会更新表,担心的是一样的如果交换机没开启定期发送arp广播那客户机的永远没法上网。也没摸清楚,但觉得开启免费arp广播会保险点再使用这个功能
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录