S5560-30S-EI ARP静态绑定与ip source guard中的ip+mac区别
- 2关注
- 1收藏,2389浏览
问题描述:
ARP静态绑定ip+mac所实现的静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。而ip source guard中,接口静态绑定是在接口上配置的绑定了IP地址、MAC地址以及相关组合的表项,这类表项仅在当前接口上生效。只有接口收到的报文的IP地址、MAC地址与接口上配置的绑定表项的各参数完全匹配时,报文才可以在该接口被正常转发,其它报文都不能被转发,该表项适用于检查接口上接入用户的合法性。
这两种方式都可以实现不是指定的ip+mac就上不了网吗。我看到静态arp的表项就比较大,ip source guard中做ip+mac绑定就比较小。所以过来咨询一下,具体有什么区别,分别适用于什么样的场景啊?
谢谢!
- 2019-08-13提问
- 举报
-
(0)
最佳答案
. 基于 IP 和MAC 静态绑定表项的检查。主要针对仿冒网关的攻击。不论对于ARP 非信任端口,还是信任端口,只要配置了基于IP 和MAC 静态绑定表项检查模式且所属VLAN 使能了ARP Detection 功能,则从该端口上送的ARP 报文需进行基于IP 和MAC 静态绑定表项检查。对
于源IP 存在绑定关系但是MAC 地址不符的ARP 报文,设备认为是非法报文进行丢弃处理;
对于源IP 不存在绑定关系和源IP 存在绑定关系且MAC 地址相符的ARP 报文,设备认为是
合法报文,检查通过。
. 配置了该特性的端口接收到报文后查找IP Source Guard 绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。
- 2019-08-13回答
- 评论(0)
- 举报
-
(2)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
那我把动态arp关掉的话,接口就只会转发该ip的流量了吧?