linux端口隔离,arp以及端口隔离
地址解析协议(Address Resolution Protocol,ARP)是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用,其主要作用是通过已知IP地址,获取对应物理地址的一种协议。但其也能在ATM(异步传输模式)和FDDIIP(Fiber Distributed Data Interface光纤分布式数据接口)网络中使用。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据链路层(MAC层,也就是相当于OSI的第二层)的MAC地址。
在网络层
arp地址解析工作过程 通过数据包目标ip地址 ---》如果,缓存中有的话找到目标mac地址进行封装,不存在的话它就会发广播找到,举例如下:
在TCP/IP协议中,A给B发送IP包,在报头中需要填写B的IP为目标地址,但这个IP包在以太网上传输的时候,还需要进行一次以太包的封装,在这个以太包中,目标地址就是B的MAC地址。
计算机A是如何得知B的MAC地址的呢?解决问题的关键就在于ARP协议。
在A不知道B的MAC地址的情况下,A就广播一个ARP请求包,请求包中填有B的IP(192.168.1.2),以太网中的所有计算机都会接收这个请求,而正常的情况下只有B会给出ARP应答包,包中就填充上了B的MAC地址,并回复给A。A得到ARP应答后,将B的MAC地址放入本机缓存,便于下次使用。本机MAC缓存是有生存期的,生存期结束后,将再次重复上面的过程。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
arp可以实现ip地址和mac地址的绑定,使用的命令如下:
arp static ip地址 mac地址
优点:避免广播
安全
RARP(逆向ARP)经常在无盘工作站上使用,以获得它的逻辑IP地址。
rarp 自己mac ---》自己ip
端口隔离
是为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
目前有些设备只支持一个隔离组(以下简称单隔离组),由系统自动创建隔离组1,用户不可删除该隔离组或创建其它的隔离组。有些设备支持多个隔离组(以下简称多隔离组),用户可以手工配置。不同设备支持的隔离组数不同,请以设备实际情况为准。
隔离组内可以加入的端口数量没有限制。
端口隔离特性与端口所属的VLAN无关。对于属于不同VLAN的端口,只有同一个隔离组的普通端口到上行端口的二层报文可以单向通过,其它情况的端口二层数据是相互隔离的。
端口隔离技术在H3C交换机上的实现
system-view 进入系统视图
interface interface-type interface-number 进入以太网端口视图
port isolate 将以太网端口加入到隔离组中
端口隔离技术在H3C交换机上实现很强,使用也方便,上述的三条命令就可以实现相应端口之间隔离。
交换机H3C
1、二层 一个隔离组
端口隔离:
int 端口ID
port isolate
这种情况是,只要被隔离的端口两两都不能通信,有局限性。
2、三层 多个隔离组 【am】
端口隔离:
am enable(启动am功能)
int 端口ID
am isolate 要隔离的端口。跟指定的端口进行隔离(不需要在指定的端口上再配置端口隔离)
端口+ip绑定:
am enable
int 端口ID
am ip-pool ip地址(可以写指定ip,也可以使用后跟数字指定范围)
linux端口隔离,arp以及端口隔离相关推荐
- linux端口隔离,华为交换机端口隔离命令
华为交换机取消端口自协商模式命令: 登录交换机 #sys进入配置模式 #interface gigabitethernet 1/0/1 进入端口 #undo negotiation auto 取消端口 ...
- 端口隔离port-isolate(二层隔离)
端口隔离port-isolate(二层隔离) port-isolate mode S2720-EI.S5720-LI.S5735-L.S5735S-L.S5735S-L-M.S5720S-LI.S67 ...
- 交换机高级特性简介:MUX VLAN、端口隔离功能、端口安全功能简单原理与配置
文章目录 MUX VLAN MUX VLAN应用场景 MUX VLAN基本概念 实验配置 配置命令 端口隔离 端口隔离基本概念 实验配置 配置命令 端口安全(Port Security) 端口安全基本 ...
- 【必看】Linux 或 Windows上实现端口映射
通常服务器会有许多块网卡,因此也可能会连接到不同的网络,在隔离的网络中,某些服务可能会需要进行通信,此时服务器经过配置就可以承担起了转发数据包的功能. 一.Windows下实现端口映射 1.查询端口映 ...
- Linux 或 Windows 上实现端口映射
点击上方 "程序员小乐"关注, 星标或置顶一起成长 后台回复"大礼包"有惊喜礼包! 关注订阅号「程序员小乐」,收看更多精彩内容 每日英文 It has not ...
- Linux疑难杂症解决方案100篇(十八)-Linux 或 Windows 上实现端口映射
前言 通常服务器会有许多块网卡,因此也可能会连接到不同的网络,在隔离的网络中,某些服务可能会需要进行通信,此时服务器经过配置就可以承担起了转发数据包的功能. 以下是我为大家准备的几个精品专栏,喜欢的小 ...
- Linux/ubuntu 服务器开启6010端口-X11服务-ssh连接
此文首发于我的个人博客:Linux/ubuntu 服务器开启6010端口-X11服务-ssh连接 - zhang0peter的个人博客 晚上在检查我的Linux-ubuntu服务器的端口状况时发现开启 ...
- linux如何关闭udp端口,如何阻止linux RHEL7中的udp端口范围(How to block udp ports range in linux RHEL7)...
如何阻止linux RHEL7中的udp端口范围(How to block udp ports range in linux RHEL7) 需要测试使用UDP端口范围从5000到60,000英寸的应用 ...
- Linux下用iptables做端口映射
Linux下用iptables做端口映射详细过程 在CentOS5.4上用iptables配置了端口映射,讲述详细的配置过程,供大家参考. [实现功能] server-A eth0 119. ...
最新文章
- Bigmart数据集销售预测
- 遍历输出所有子视图(View)
- sql server 游标的使用方法
- 我国企业对开源社区的贡献度_开源对企业有利的6个理由
- android 自定义指南针,如何在android中制作自定义指南针视图
- 献策企业:制定优秀移动化企业七步骤
- Arcgis javascript那些事儿(十三)——距离面积计算
- 批量删除和修改特定前缀的mysql表
- mac安装helm工具_适用于初学者的基本 kubectl 和 Helm 命令
- 摇骰子、抽奖转盘酒桌游戏 人生重启模拟器小程序源码分享-开通流量主躺着赚钱
- windows下的Zcash钱包(ZEC钱包)-zcash4win 1.0.11
- dropbox 下载不了问题
- 高精度定位赋能行业创新,Petal Maps Platform 创新地图平台能力
- Spring IoC容器与Bean管理18:Bean对象的作用域及生命周期三:对象生命周期;
- 数据库之关系模型介绍
- 2013年Devoxx法国-第3天
- 107_Cmder的安装使用
- 360浏览器模拟百度搜索引擎蜘蛛访问
- LU分解,LDLT分解,Cholesky分解
- 大三下的计划以及找工作的准备