启动或禁止ARP 学习功能2021精选PPT

主机 IP地址 通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。
在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。
MAC地址
A 启动或禁止ARP 学习功能
dd-dd-dd-dd-dd-dd
192.168.16.1
aa-aa-aa-aa-aa-aa
项以备将来的地址解析需求。
ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
启动或禁止ARP 学习功能
当防火墙工作在透明模式下时，内部和外部网络之间跨越防火 墙进行通信，某设备对自身进行访问或发起某对外连接，这些都需 要产生ARP请求和ARP相应，防火墙会自动学习ARP表项以备将来的 地址解析需求。
启动或禁止ARP 学习功能
配置命令如下
操作
命令
启动 ARP 表项自动学习功能 firewall arp-learning enable （缺省）
禁止 ARP 表项自动学习功能 undo firewall arp-learning enable
谢谢
知识点：启动或禁止ARP 学习功能
ARP协议
ARP协议是“Address Resolution Protocol”（地址解析协议） 的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目 标主机的MAC地址的。
ARP协议
在局域网中，通过ARP协议来完成IP地址转换为第二层物理地 址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过 伪 造 IP 地 址 和 MAC 地 址 实 现 ARP 欺 骗 ， 能 够 在 网 络 中 产 生 大 量 的 ARP通信量使网络阻塞。
bb-bb-bb-bb-bb-bb aa-aa-aa-aa-aa-aa
B
192.168.16.2
bb-bb-bb-bb-bb-bb
C dd-dd-dd-dd-dd-dd
启动或禁止ARP 学习功能
1ቤተ መጻሕፍቲ ባይዱ2.168.16.3
cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd 当防火墙工作在透明模式下时，内部和外部网络之间跨越防火墙进行通信，某设备对自身进行访问或发起某对外连接，这些都需要产生ARP请求和ARP相应，防火墙会自动学习ARP表
ARP协议
在以太网中，一个主机要和另一个主机进行直接通信，必须要 知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢？
ARP协议
它就是通过地址解析协议获得的。所谓“地址解析”就是主机 在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的 基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址， 以保证通信的顺利进行。
启动或禁止ARP 学习功能
由 于 系 统 维 护 的 ARP 表 项 总 数 是 有 限 的 ， 当 防 火 墙 遭 受 ARP FLOOD攻击时，可能会因为过多的无用ARP表项而影响防火墙正常 ARP解析功能。为了防止这种情况的发生，建议先禁止防火墙ARP表 项学习功能，并通过命令人工添加实际使用的静态ARP表项。
ARP协议
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表
启动或禁止ARP 学习功能
里的IP地址与MAC地址是一一对应的，如下表所示。 dd-dd-dd-dd-dd-dd
在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。
启动或禁止ARP 学习功能
启动或禁止ARP 学习功能