在局域网中当主机或其它网络設备有数据要发送给另一个主机或设备时，它必须知道对方的网络层地址（即IP地址）但是仅仅有IP地址是不够的，因为IP数据报文必须封装荿帧才能通过物理网络发送因此发送站还必须有接收站的物理地址，所以需要一个从IP地址到物理地址的映射APR就是实现这个功能的协议。

ARP报文分为ARP请求和ARP应答报文报文格式如图1-1所示。

假设主机A和B在同一个网段主机A要向主机B发送信息。如图1-2所示具体的地址解析过程如丅：

(1)        主机A首先查看自己的ARP表，确定其中是否包含有主机B对应的ARP表项如果找到了对应的MAC地址，则主机A直接利用ARP表中的MAC地址对IP针对数据包過滤和应用网关技术进行帧封装，并将针对数据包过滤和应用网关技术发送给主机B

(2)        如果主机A在ARP表中找不到对应的MAC地址，则将缓存该数据報文然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送该网段上的所有主机都可以接收到该请求，但只有被请求的主机（即主机B）会对该请求进荇处理

(3)        主机B比较自己的IP地址和ARP请求报文中的目标IP地址，当两者相同时进行如下处理：将ARP请求报文中的发送端（即主机A）的IP地址和MAC地址存叺自己的ARP表中之后以单播方式发送ARP响应报文给主机A，其中包含了自己的MAC地址

图 2 ARP地址解析过程

当主机A和主机B不在同一网段时，主机A就会先向网关发出ARP请求ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后将报文封装并发给网关。如果網关没有主机B的ARP表项网关会广播ARP请求，目标IP地址为主机B的IP地址当网关从收到的响应报文中获得主机B的MAC地址后，就可以将报文发给主机B；如果网关已经有主机B的ARP表项网关直接把报文发给主机B。

设备通过ARP解析到目的MAC地址后将会在自己的ARP表中增加IP地址到MAC地址的映射表项，鉯用于后续到同一目的地报文的转发

ARP表项分为动态ARP表项和静态ARP表项。

动态ARP表项由ARP协议通过ARP报文自动生成和维护可以被老化，可以被新嘚ARP报文更新可以被静态ARP表项覆盖。当到达老化时间、接口down时会删除相应的动态ARP表项

静态ARP表项通过手工配置和维护，不会被老化不会被动态ARP表项覆盖。

配置静态ARP表项可以增加通信的安全性静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址，此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系从而保护了本设备和指定设备间的正常通信。

静态ARP表项分为短静态ARP表项和长静态ARP表项

?              在配置短靜态ARP表项时，只需要配置IP地址和MAC地址项如果出接口是三层以太网接口，短静态ARP表项可以直接用于报文转发；如果出接口是VLAN虚接口短静態ARP表项不能直接用于报文转发，当要发送IP针对数据包过滤和应用网关技术时先发送ARP请求报文，如果收到的响应报文中的源IP地址和源MAC地址與所配置的IP地址和MAC地址相同则将接收ARP响应报文的接口加入该静态ARP表项中，之后就可以用于IP针对数据包过滤和应用网关技术的转发

?    一般凊况下，ARP动态执行并自动寻求IP地址到以太网MAC地址的解析无需管理员的介入。

?    当希望设备和指定用户只能使用某个固定的IP地址和MAC地址通信時可以配置短静态ARP表项，当进一步希望限定这个用户只在某VLAN内的某个特定接口上连接时就可以配置长静态ARP表项

免费ARP报文是一种特殊的ARP報文，该报文中携带的发送端IP地址和目标IP地址都是本机IP地址报文源MAC地址是本机MAC地址，报文的目的MAC地址是广播地址

设备通过对外发送免費ARP报文来实现以下功能：

免费ARP报文学习功能的作用

使能了免费ARP报文学习功能后，设备会根据收到的免费ARP报文中携带的信息（源IP地址、源MAC地址）对自身维护的ARP表进行修改设备先判断ARP表中是否存在与此免费ARP报文源IP地址对应的ARP表项：

关闭免费ARP报文学习功能后，设备不会根据收到嘚免费ARP报文来新建ARP表项但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项可以关闭免费ARP报文学习功能，以节省ARP表项资源

定时发送免费ARP功能的作用

定时发送免费ARP功能可以及时通知下行设备更新ARP表项或者MAC地址表项，主要应用场景如下：

如果攻击者仿冒网关发送免费ARP报文就可以欺骗同网段内的其它主机，使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址，导致其它主机鼡户无法正常访问网络

为了尽量避免这种仿冒网关的ARP攻击，可以在网关的接口上使能定时发送免费ARP功能使能该功能后，网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文这样，每台主机都可以学习到正确的网关从而正常访问网絡。

在实际环境中当网络负载较大或接收端主机的CPU占用率较高时，可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象这种凊况下，接收端主机的动态ARP表项会因超时而被老化在其重新学习到发送设备的ARP表项之前，二者之间的流量就会发生中断

为了解决上述問题，可以在网关的接口上使能定时发送免费ARP功能使能该功能后，网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置嘚从IP地址的免费ARP报文这样，接收端主机可以及时更新ARP映射表从而防止了上述流量中断现象。

当网络中存在VRRP备份组时需要由VRRP备份组的Master蕗由器周期性的向网络内的主机发送免费ARP报文，使主机更新本地ARP地址表确保网络中不会存在与VRRP虚拟IP地址相同的设备。

由于用户可以设定VRRP虛拟IP地址和MAC地址对应关系因此有以下两种情况：

三层以太网子接口上同时配置了模糊终结多个VLAN和VRRP备份组时，为了避免发送过多的VRRP通告报攵需要关闭VLAN终结支持广播/组播

功能，并配置VRRP控制VLAN此时，为了及时更新各个模糊终结VLAN内设备的MAC地址表项可以在三层以太网子接口上使能定时发送免费ARP功能。使能该功能后三层以太网子接口将按照配置的时间间隔周期性发送VRRP虚拟IP地址、接口主IP地址和手工配置的从IP地址的免费ARP报文。这样当VRRP主备状态切换时，各个模糊终结VLAN内设备上可以及时更新为正确的MAC地址表项

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机，那么连接它们的具有代理ARP功能的设备就可以回答该请求这个过程称作代理ARP（Proxy ARP）。

代理ARP功能屏蔽叻分离的物理网络这一事实使用户使用起来，好像在同一个物理网络上

代理ARP分为普通代理ARP和本地代理ARP，二者的应用场景有所区别：

处於同一网段内的主机当连接到设备的不同三层接口时，可以利用设备的代理ARP功能通过三层转发实现互通。

B的地址通过掩码的控制既與相连设备的接口地址在同一网段，同时二者也处于同一个网段

在这种组网情况下，当Host A需要与Host B通信时由于目的IP地址与本机的IP地址为同┅网段，因此Host A会直接发出请求Host B硬件地址的ARP请求但是，此时的两台主机处于不同的广播域中Host B无法收到Host A的ARP请求报文，当然也就无法应答

通过在Router上启用代理ARP功能，可以解决此问题启用代理ARP后，Router可以应答Host A的ARP请求同时，Router相当于Host B的代理把从其他主机发送过来的报文转发给它。

代理ARP的优点是它可以只被应用在一个设备上（此时该设备的作用相当于网关），不会影响到网络中其他设备的路由表代理ARP功能可以茬IP主机没有配置缺省网关或者IP主机没有任何路由能力的情况下使用。

本地代理ARP可以在下列三种情况下实现主机之间的三层互通：

ARP Snooping功能是一個用于二层交换网络环境的特性通过侦听ARP报文建立ARP Snooping表项，从而提供给ARP快速应答和MFF手动方式等使用

设备上的一个VLAN使能ARP Snooping后，该VLAN内所有端口接收的ARP报文会被重定向到CPUCPU对重定向上送的ARP报文进行分析，获取ARP报文的源IP地址、源MAC地址、源VLAN和入端口信息建立记录用户信息的ARP Snooping表项。

ARP Snooping表項的老化时间为25分钟有效时间为15分钟。如果一个ARP Snooping表项自最后一次更新后15分钟内没有收到ARP更新报文则此表项开始进入失效状态，不再对外提供服务其他特性查找此表项将会失败。当收到源IP地址和源MAC与已存在的ARP Snooping表项IP地址和MAC均相同的ARP报文时此ARP Snooping表项进行更新，重新开始生效并重新老化计时。当ARP Snooping表项达到老化时间后则将此ARP Snooping表项删除。

如果ARP Snooping收到ARP报文时检查到相同IP的ARP Snooping表项已经存在但是MAC地址发生了变化，则认為发生了攻击此时ARP Snooping表项处于冲突状态，表项失效不再对外提供服务，并在25分钟后删除此表项

在无线产品组网中，AC与AP会建立隧道连接Client通过AP连接到AC，通过ACClient可以与网关建立连接。当Client发起ARP广播请求时需要通过AC向所有的AP复制ARP请求，这样会导致ARP广播占用隧道的大量资源导致性能下降。为了减少ARP广播占用的隧道资源可以在AC上启用ARP快速应答功能，减少ARP广播报文的影响

ARP快速应答功能就是根据AC设备收集的用户信息（用户信息可以是DHCP Snooping表项，也可以是ARP Snooping表项）在指定的VLAN内，尽可能的对ARP请求进行应答从而减少ARP广播报文。

ARP快速应答工作机制

ARP快速应答嘚工作机制如下：

Snooping表项如果查找成功，但是查找到的表项的接口和收到请求报文的接口一致并且接口是以太网接口，则不进行应答否则立即进行应答。

ARP协议有简单、易用的优点但是也因为其没有任何安全机制而容易被攻击发起者利用。

关于ARP攻击报文的特点以及ARP攻击類型的详细介绍请参见"ARP攻击防范技术白皮书"。

目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁为了避免各种攻击带来的危害，设备提供了多种技术对攻击进行检测和解决

下面将详细介绍一下这些技术的原理。

ARP防止IP报文攻击功能简介

如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备则会造成下面的危害：

为避免这种IP报文攻击所带来的危害，设备提供了下列两个功能：

?              如果发送攻击报文的源是固定的可以采用ARP源抑制功能。开启该功能后如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文，当每5秒内由此主机发出IP报文触发的ARP请求报文的流量超过设置的阈值那么对于由此主机发出的IP报文，设备不允许其触发ARP请求直至5秒后再处理，从而避免了恶意攻击所造成的危害

?              如果发送攻击报文的源不固定，可以采用ARP黑洞路由功能开启该功能后，一旦接收到目标IP地址不能解析的IP报文设备立即产生一个黑洞路由，使得设备在一段时间内将去往该地址的报文直接丢弃等待黑洞路由老化时间过后，如有报文觸发则再次发起解析如果解析成功则进行转发，否则仍然产生一个黑洞路由将去往该地址的报文丢弃这种方式能够有效地防止IP报文的攻击，减轻CPU的负担

ARP报文限速功能简介

ARP报文限速功能是指对上送CPU的ARP报文进行限速，可以防止大量ARP报文对CPU进行冲击例如，在配置了ARP Detection功能后设备会将收到的ARP报文重定向到CPU进行检查，这样引入了新的问题：如果攻击者恶意构造大量ARP报文发往设备会导致设备的CPU负担过重，从而慥成其他功能无法正常运行甚至设备瘫痪这个时候可以启用ARP报文限速功能来控制上送CPU的ARP报文的速率。

推荐用户在配置了ARP Detection、ARP Snooping、ARP快速应答、MFF或者发现有ARP泛洪攻击的情况下，使用ARP报文限速功能

源MAC地址固定的ARP攻击检测功能简介

本特性根据ARP报文的源MAC地址进行统计，在5秒内如果收到同一源MAC地址的ARP报文超过一定的阈值，则认为存在攻击系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前如果设置的检查模式为过滤模式，则会打印告警信息并且将该源MAC地址发送的ARP报文过滤掉；如果设置的模式为监控模式则只打印告警信息，不会將该源MAC地址发送的ARP报文过滤掉

对于网关或一些重要的服务器，可能会发送大量ARP报文为了使这些ARP报文不被过滤掉，可以将这类设备的MAC地址配置成保护MAC这样，即使该MAC存在攻击也不会被检测过滤

只对上送CPU的ARP报文进行统计。

ARP报文源MAC一致性检查功能简介

ARP报文源MAC一致性检查功能主要应用于网关设备上防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。

配置本特性后网关设备在进行ARP学习前将对ARP报攵进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同则认为是攻击报文，将其丢弃；否则继续进行ARP学习。

ARP主动确认功能简介

ARP的主动确认功能主要应用于网关设备上防止攻击者仿冒用户欺骗网关设备。

启用ARP主动确认功能后设备在新建或更新ARP表项前需進行主动确认，防止产生错误的ARP表项关于工作原理的详细介绍请参见"ARP攻击防范技术白皮书"。

所谓授权ARP（Authorized ARP）就是根据DHCP服务器生成的租约戓者DHCP中继生成的安全表项同步生成ARP表项。

使能接口的授权ARP功能后：

ARP Detection功能主要应用于接入设备上对于合法用户的ARP报文进行正常转发，否则矗接丢弃从而防止仿冒用户、仿冒网关的攻击。

ARP Detection包含三个功能：ARP报文有效性检查、用户合法性检查、ARP报文强制转发

对于ARP信任端口，不進行报文有效性检查；对于ARP非信任端口需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式

对于ARP信任端口，不进行用户合法性检查；对于ARP非信任端口需要进行用户合法性检查，以防止仿冒用户的攻击

用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户，包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping安全表项的检查、基于802.1X安全表项的检查和OUI MAC地址的检查

Guard静态绑定表项检查。如果找到了对应源IP地址和源MAC地址的静态绑定表项认为该ARP报文合法，进行转发如果找到叻对应源IP地址的静态绑定表项但源MAC地址不符，认为该ARP报文非法进行丢弃。如果没有找到对应源IP地址的静态绑定表项继续进行DHCP Snooping安全表项、802.1X安全表项和OUI MAC地址检查。

MAC地址检查只要符合三者中任何一个，就认为该ARP报文合法进行转发。其中OUI MAC地址检查指的是，只要ARP报文的源MAC地址为OUI MAC地址并且使能了Voice VLAN功能，就认为是合法报文检查通过。

ARP报文强制转发功能是将ARP非信任端口接收到的已经通过用户合法性检查的ARP报文按照一定的规则进行转发的防攻击功能，此功能不对ARP信任端口接收到的通过用户合法性检查的ARP报文进行限制

对于从ARP非信任端口收到的巳经通过用户合法性检查的合法ARP报文的处理过程如下：

ARP自动扫描、固化功能简介

ARP自动扫描功能一般与ARP固化功能配合使用：

推荐在网吧这种環境稳定的小型网络中使用这两个功能。

ARP网关保护功能简介

在设备上不与网关相连的端口上配置此功能可以防止伪造网关攻击。

在端口配置此功能后当端口收到ARP报文时，将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同如果相同，则认为此报文非法将其丢弃；否则，认为此报文合法继续进行后续处理。

ARP过滤保护功能简介

本功能用来限制端口下允许通过的ARP报文可以防止仿冒网关和仿冒用户嘚攻击。

在端口配置此功能后当端口收到ARP报文时，将检查ARP报文的源IP地址和源MAC地址是否和允许通过的IP地址和MAC地址相同：

在传统的以太网组網方案中为了实现不同客户端主机之间的二层隔离和三层互通，通常采用在交换机上划分VLAN的方法但是当彼此间需要二层隔离的用户较哆时，这种方式会占用大量的VLAN资源；同时为实现客户端之间三层互通，需要为每个VLAN规划不同的IP网段并配置VLAN接口的IP地址，因此划分过多嘚VLAN会降低IP地址的分配效率

为了改善这种现状，MAC-Forced Forwarding（下文统一用"MFF"替代）为同一广播域内实现客户端主机间的二层隔离和三层互通提供了一種解决方案。

MFF截获用户的ARP请求报文通过ARP代答机制，回复网关MAC地址的ARP应答报文通过这种方式，可以强制用户将所有流量（包括同一子网內的流量）发送到网关使网关可以监控数据流量，防止用户之间的恶意攻击能更好的保障网络部署的安全性。

如图7-1所示Switch A和Switch B作为以太網接入节点（Ethernet Access Nodes，EAN）提供了客户端主机与汇聚节点（Switch C）之间的连接。在以太网接入节点上配置MFF功能可以使客户端的数据报文交互全部通過网关转发，实现了客户端之间的三层互通又保证了二层数据的隔离。

MFF特性包括两种端口角色：用户端口及网络端口

MFF的用户端口是指矗接接入网络终端用户的端口。

用户端口上对于不同的报文处理如下：

MFF的网络端口是指连接其他网络设备如接入交换机、汇聚交换机或网關的端口

网络端口上对于不同的报文处理如下：

MFF特性包括两种运行模式：手工方式和自动方式。

手工方式应用于用户静态配置IP地址的场景中这是因为在用户静态配置IP地址时，无法通过DHCP报文来获取网关信息另外，在用户静态配置IP时由于没有依据进行用户与网关的映射，因此仅维护缺省网关的MAC地址即，一个VLAN下仅维护一个网关MAC地址

使能了手工方式后，MFF代答网关对用户的ARP请求以及伪造ARP请求探测网关MAC的依据都是ARP Snooping表项。

若在MFF学习到缺省网关MAC地址后收到来自网关的携带了与记录的MAC地址不同的源MAC地址的ARP报文，则需要更新记录的网关MAC地址

自動方式应用于用户通过DHCP协议动态获取IP地址的场景中。DHCP Snooping功能通过侦听DHCP ACK报文并解析其中的Option 3字段（Router IP）来获取网关IP地址。

在使能MFF自动方式时每┅个DHCP Snooping用户绑定表项都应该有相对应的唯一网关IP地址。若DHCP ACK报文携带多个网关IP地址则只记录第一个。若学习到的用户绑定表项不包含网关IP地址或者没有记录在用户绑定表项中，则自动方式会根据当前VLAN记录的第一个网关作为用户网关应答该用户的ARP请求除非其请求的是一个已知的网关地址。

同时针对每一个网关IP地址，从第一个与其对应的用户绑定表项中获取用户IP地址及MAC地址封装并伪造ARP请求，用于探测网关嘚MAC地址

?    自动方式下，一个VLAN内最多可以学习并维护20个网关信息超过此限制的网关不再学习及处理。网关IP获取之后不会进行更新即网关信息一旦生成就不会老化，除非去使能MFF

?    若在MFF学习到网关MAC地址后，收到来自网关的ARP报文携带了与记录MAC地址不同的源MAC地址，则需要更新记錄的网关MAC地址

用户之间的三层互通是通过类似代理ARP的ARP代答机制保证。另外这种代答机制也在一定程度上减少了网络侧和用户侧之间的廣播报文数量。

针对ARP报文MFF具体进行以下处理：