最简单的MAC地址大小比较方法
我们在学习生成树协议的时候会涉及到比较MAC地址大小的问题,在华为设备中,其他参数相同的情况下,MAC地址最小的为根交换机,当然这是题外话,下面驶入正题。
要搞清楚多个MAC地址谁大谁小,首先得明白MAC地址的组成,MAC地址的长度是48比特(6字节),48位二进制数,12位16进制数组成,即0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、f。
首先记住,0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、f从左到右的数字一位比...
阅读全文>>
服务器集群(多端口)ARP配置示例
1、组网需求
图1 服务器集群(多端口)ARP组网示例图
如上图1所示,Switch连接NLB服务器群,该NLB服务器群工作在单播模式,通过属于VLAN10的三个接口GE1/0/1、GE1/0/2和GE1/0/3分别连接三台服务器。
服务器群的群集IP地址为192.168.1.1/24,群集MAC地址为02bf-fc01-0000。要求交换机能够将目的地址为192.168.1.1的报文发送到群集内的所有服务器上。...
阅读全文>>
通过ARP实现二层拓扑探测配置示例
1、组网需求
图1 ARP实现二层拓扑探测示例
如上图1所示,两个GE接口加入VLAN100,两个GE口所连主机的IP地址如图所示。
2、配置思路
2.1、配置两个GE接口的缺省VLAN配置为VLAN 100。
2.2、使能二层拓扑探测功能,查看ARP表项的变化...
阅读全文>>
华为交换机VLAN之间Proxy ARP示例
1、组网需求
图1 VLAN间Proxy ARP组网示例图
如上图1所示,VLAN2和VLAN3组成Super-VLAN4。要求:
作为Sub-VLAN的VLAN2和VLAN3内的主机之间不能互相Ping通。
配置VLAN间Proxy ARP(代理arp)后,V...
阅读全文>>
华为交换机VLAN内Proxy ARP配置示例
1、组网需求
图1 VLAN内Proxy ARP组网示例图
如上图1所示,Switch的接口GE1/0/2和GE1/0/1属于同一个sub-VLAN2。该sub-VLAN属于super-VLAN3。要求:
属于同一VLAN2的两台主机hostA和host...
阅读全文>>
路由式ARP Proxy(arp代理)配置示例
1、组网需求
图1 路由式ARP Proxy组网示例图
如上图1所示,Switch的两个以太网接口GE1/0/1和GE1/0/2分别连接一个局域网,两个局域网的网段均为172.16.0.0/16。两台计算机HostA和HostB没有配置默认网关,要求在Switch...
阅读全文>>
华为交换机静态ARP与动态ARP结合使用配置示例
1、组网需求
图1 动态ARP与静态ARP组网示例图
如上图1所示,Switch的接口GE1/0/1通过LAN Switch(即LSW)连接主机,接口GE1/0/2连接Server。要求:
GE1/0/1属于VLAN2,GE1/0/2属于VLAN...
阅读全文>>
6、arp报文内MAC地址一致性检查
ARP报文内MAC地址一致性检查功能主要应用于网关设备上,可以防御以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址不同的ARP攻击。
本命令不支持在子接口上配置,当子接口收到ARP报文时,ARP报文内MAC地址一致性检查遵循主接口下的检查规则。
本命令不支持在VLANIF接口上配置,当VLANIF接口收到ARP报文时,ARP报文内MAC地址一致性检查遵循成员口下的检查规则。
[Huawei-GigabitEthernet0/0/1]arp validate ...
阅读全文>>
二、防arp欺骗攻击
1、arp表项固化
可在全局和VLANIF接口下配置ARP表项固化功能。
具体配置:
[Huawei]arp anti-attack entry-check ?
fixed-all Fixed all mode
fixed-mac Fixed mac mode
send-ack Inquire mode
2、动态arp检测
为了防御中间人攻击,避...
阅读全文>>
3、配置临时ARP表项的老化时间
当IP报文触发ARP Miss消息时,设备会根据ARP Miss消息生成临时ARP表项,并且向目的网段发送ARP请求报文。
在临时ARP表项老化时间范围内:
设备收到ARP应答报文前,匹配临时ARP表项的IP报文将被丢弃并且不会触发ARP Miss消息。设备收到ARP应答报文后,则生成正确的ARP表项来替换临时ARP表项。
当老化时间超时后,设备会清除临时ARP表项。此时如果设备转发IP报文匹配不到对应的ARP表项,则会重新触发ARP Miss消息并生成临时ARP表项,如此循环重复。
...
阅读全文>>
一、防ARP泛洪攻击
当针对全局、VLAN、接口的ARP报文限速以及根据源MAC地址、源IP地址进行ARP报文限速中的多个限速功能同时配置时,设备对同时满足这些限速条件的ARP报文以其中最小的限速值进行限速。
当针对全局、VLAN、接口的ARP Miss消息限速以及根据源IP地址进行ARP Miss消息限速中的多个限速功能同时配置时,设备对同时满足这些限速条件的ARP Miss消息以其中最小的限速值进行限速。
防止ARP泛洪攻击包括ARP报文限速功能、ARP Miss消息限速功能、免费ARP报文主动丢弃功能、ARP表项严格
...
阅读全文>>