马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
ARP
IP数据包通过以太网发送,但以太网设备并不能识别IP地址,它们是以MAC地址传输的。因此,必须把IP目的地址转换成MAC目的地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
ARP(Address Resolution Protocol)协议是网络层的协议,用于将IP地址解析为的MAC地址。
ARP的工作原理
每个主机都会在自己的ARP缓冲区中建立一个ARP列表,以记录IP地址和MAC地址之间的对应关系。 主机(网络接口)在新参加网络时(也大概只是MAC地址发生变化,接口重启等),会发送ARP报文,把自己的IP地址与MAC地址的映射关系广播给其他主机。 网络上的主机吸收到ARP报文时,会更新自己的ARP缓冲区。将新的映射关系更新到自己的ARP表中。具体工作过程如下。 (1)当源主机需要将一个数据包发送到目的主机时,会查抄自己的ARP列表中是否存在该IP地址对应的MAC地址,若有,则直接将数据包发送到这个MAC地址;若没有,则向本地网段发起一个ARP哀求的广播包,查询此目的主机对应的MAC地址。此ARP哀求数据包中包罗源主机的IP地址、硬件地址,以及目的主机的IP地址。
(2)网络中全部的主机都收到这个ARP哀求后,会查抄数据包中的目的IP是否和自己的IP地址一致。若不类似,则忽略此数据包;若类似,则该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,假如ARP表中已经存在该IP的信息,那么将其覆盖,然后给源主机发送一个ARP相应数据包,告诉对方自己是它需要查找的MAC地址。
(3)源主机收到这个ARP相应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始进行数据的传输。假如源主机不绝没有收到ARP相应数据包,那么表示ARP查询失败。
ARP报头结构
硬件类型:指明了发送方想知道的硬件端口类型,以太网的值为1。
协议类型:指明了发送方提供的高层协议类型,IP为0800(16进制)。
硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度,如许ARP报文就可以在任意硬件和任意协议的网络中使用。
操作类型:用来表示这个报文的类型,ARP哀求为1,ARP相应为2,RARP哀求为3,RARP相应为4。
源硬件地址(0-3字节):源主机硬件地址的前3个字节。
源硬件地址(4-5字节):源主机硬件地址的后3个字节。
源IP地址(0-1字节):源主机IP地址的前2个字节。
源IP地址(2-3字节):源主机IP地址的后2个字节。
目的硬件地址(0-1字节):目的主机硬件地址的前2个字节。
目的硬件地址(2-5字节):目的主机硬件地址的后4个字节。
目的IP地址(0-3字节):目的主机的IP地址。
端口安全
在对接入用户的安全性要求较高的网络中,可以设置端口安全功能,将端口学习到的MAC地址转换为安全MAC地址,端口学习的最大MAC数目到达上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。或者通过手动设置将端口和MAC地址逐一对应。如许可以阻止其他非信任用户通过本端口和交换机通信,提高设备与网络的安全性。
端口安全一般应用在接入层设备,通过设置端口安全可以防止仿冒用户从其他端口发起攻击。在接入层交换机的每个端口都开启端口安全功能,并绑定接入用户的MAC地址与VLAN信息,当有非法用户通过已设置端口安全的端口接入网络时,交换机遇查找对应的MAC地址表,若发现非法用户的MAC地址与表中的不符,则将数据包扬弃。
在盘算机中实行【ipconfig /all】下令即可查察本机的MAC地址,【ARP -a】下令可以查察邻近盘算机的MAC地址和IP地址。
在交换机上实行【display mac-address】下令可以查察对应端口上的MAC地址
MAC地址是盘算机的唯一物理标识,可以在交换机对应的端口上进行绑定,非绑定的MAC地址将无法接入到网络中
在进行端口绑定时,需要查察两个信息,一个是盘算机的MAC地址,另一个是盘算机接入的端口
ensp模仿
A公司有研发部、商务部、资料部3个部分,资料部为紧张部分,该部分的全部员工都使用指定的盘算机访问资料部Server获取资料,为防止员工和访客使用个人盘算机接入网络,作为网络管理员,您将在公司部署端口安全技术,以提高资料部的网络安全性,实训拓扑图如图所示
在sw1g0/0/1扣绑定两个mac地址(pc1 pc3)来限制只有几台机器能够访问server,其他机器不可
通过在交换机的端口上绑定限定的PC的MAC地址(MAC地址也称机器号,是唯一的)来实现其他机器即使使用这个端口毗连交换机也访问不了机密资料
绘制拓扑图
PC设置IP地址
PC1 ping2~5,在S1上天生mac缓存
在SW1上使用【display mac-address】下令查察交换机与盘算机之间毗连的端口对应的MAC地址
开启该交换机端口的端口安全, 并绑定对应的MAC地址
PC2ping PC1
PC5pingPC1,在S2上天生PC5mac缓存 【display mac-address】
s1端口绑定MAC地址(注:mac地址要用交换机学习到的MAC地址变的安全动态MAC)直接用PC的mac地址是无效的
【port-security mac-address sticky】下令用来开启端口MAC地址绑定功能。实行【port-security mac-address sticky】下令后,可以实行【port-security mac-address sticky mac-address vlan vlan-id】下令手动设置一条MAC地址绑定表项
s2端口绑定PC5的地址
PC1pingPC5测试网络通断
pingPC2测试通断
修改PC5或PC1的MAC地址,来模仿其他机器接入网络进行访问
PC5pingPC1测试网络通断(这里应该是改PC1 的MAC地址后PC1pingPC5)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
