ARP
IP数据包通过以太网发送,但以太网设备并不能识别IP地址,它们是以MAC地址传输的。因此,必须把IP目的地址转换成MAC目的地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
ARP(Address Resolution Protocol)协议是网络层的协议,用于将IP地址解析为的MAC地址。
ARP的工作原理
每个主机都会在自己的ARP缓冲区中建立一个ARP列表,以记录IP地址和MAC地址之间的对应关系。 主机(网络接口)在新加入网络时(也可能只是MAC地址发生变化,接口重启等),会发送ARP报文,把自己的IP地址与MAC地址的映射关系广播给其他主机。 网络上的主机接收到ARP报文时,会更新自己的ARP缓冲区。将新的映射关系更新到自己的ARP表中。具体工作过程如下。 (1)当源主机需要将一个数据包发送到目的主机时,会检查自己的ARP列表中是否存在该IP地址对应的MAC地址,若有,则直接将数据包发送到这个MAC地址;若没有,则向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包中包括源主机的IP地址、硬件地址,以及目的主机的IP地址。
(2)网络中所有的主机都收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。若不相同,则忽略此数据包;若相同,则该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,那么将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址。
(3)源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始进行数据的传输。如果源主机一直没有收到ARP响应数据包,那么表示ARP查询失败。
ARP报头结构
硬件类型:指明了发送方想知道的硬件端口类型,以太网的值为1。
协议类型:指明了发送方提供的高层协议类型,IP为0800(16进制)。
硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。
操作类型:用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。
源硬件地址(0-3字节):源主机硬件地址的前3个字节。
源硬件地址(4-5字节):源主机硬件地址的后3个字节。
源IP地址(0-1字节):源主机IP地址的前2个字节。
源IP地址(2-3字节):源主机IP地址的后2个字节。
目的硬件地址(0-1字节):目的主机硬件地址的前2个字节。
目的硬件地址(2-5字节):目的主机硬件地址的后4个字节。
目的IP地址(0-3字节):目的主机的IP地址。
端口安全
在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将端口学习到的MAC地址转换为安全MAC地址,端口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许学习到MAC地址的设备通信。或者通过手动配置将端口和MAC地址一一对应。这样可以阻止其他非信任用户通过本端口和交换机通信,提高设备与网络的安全性。
端口安全一般应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口发起攻击。在接入层交换机的每个端口都开启端口安全功能,并绑定接入用户的MAC地址与VLAN信息,当有非法用户通过已配置端口安全的端口接入网络时,交换机会查找对应的MAC地址表,若发现非法用户的MAC地址与表中的不符,则将数据包丢弃。
在计算机中执行【ipconfig /all】命令即可查看本机的MAC地址,【ARP -a】命令可以查看邻近计算机的MAC地址和IP地址。
在交换机上执行【display mac-address】命令可以查看对应端口上的MAC地址
MAC地址是计算机的唯一物理标识,可以在交换机对应的端口上进行绑定,非绑定的MAC地址将无法接入到网络中
在进行端口绑定时,需要查看两个信息,一个是计算机的MAC地址,另一个是计算机接入的端口
ensp模拟
A公司有研发部、商务部、资料部3个部门,资料部为重要部门,该部门的所有员工都使用指定的计算机访问资料部Server获取资料,为防止员工和访客使用个人计算机接入网络,作为网络管理员,您将在公司部署端口安全技术,以提高资料部的网络安全性,实训拓扑图如图所示
在sw1g0/0/1扣绑定两个mac地址(pc1 pc3)来限制只有几台机器能够访问server,其他机器不行
通过在交换机的端口上绑定限定的PC的MAC地址(MAC地址也称机器号,是唯一的)来实现其他机器即使使用这个端口连接交换机也访问不了秘密资料
绘制拓扑图
PC配置IP地址
PC1 ping2~5,在S1上生成mac缓存
在SW1上使用【display mac-address】命令查看交换机与计算机之间连接的端口对应的MAC地址
开启该交换机端口的端口安全, 并绑定对应的MAC地址
PC2ping PC1
PC5pingPC1,在S2上生成PC5mac缓存 【display mac-address】
s1端口绑定MAC地址(注:mac地址要用交换机学习到的MAC地址变的安全动态MAC)直接用PC的mac地址是无效的
【port-security mac-address sticky】命令用来开启端口MAC地址绑定功能。执行【port-security mac-address sticky】命令后,可以执行【port-security mac-address sticky mac-address vlan vlan-id】命令手动配置一条MAC地址绑定表项
s2端口绑定PC5的地址
PC1pingPC5测试网络通断
pingPC2测试通断
修改PC5或PC1的MAC地址,来模拟其他机器接入网络进行访问
PC5pingPC1测试网络通断(这里应该是改PC1 的MAC地址后PC1pingPC5)
