交换机知识网络安全.docxVIP

交换机知识--网络安全ARP（Address Resolution Protocol，地址解析协议）用于将网络层的IP地址解析为数据链路层地址。IP地址只是主机在网络层中的地址，如果要将网络层中数据包传送给目的主机，必须知道目的主机的数据链路层地址（比如以太网络MAC地址）。因此必须将IP地址解析为数据链路层地址。ARP协议用于将IP地址解析为MAC地址，并在主机内部维护一张ARP表，记录最近与本主机通信的其它主机的MAC地址与IP地址的对应关系。当主机需要与陌生主机通信时，首先进行ARP地址解析，ARP地址解析过程如图所示：1) A在自己的ARP表中查询是否存在主机B的IP地址和MAC地址的对应条目。若存在，直接向主机B发送数据。若不存在，则A向整个局域网中广播一份称为“ARP请求”的数据链路帧，这个请求包含发送端（即主机A）的IP地址和MAC地址以及接收端（即主机B）的IP地址。2) 局域网的每个主机接收到主机A广播的ARP请求后，目的主机B识别出这是发送端在询问它的IP地址，于是给主机A发出一个ARP应答。这个应答包含了主机B的MAC地址。3) 主机A接收到主机B发出的ARP应答后，就将主机B的IP地址与MAC地址的对应条目添加自己的ARP表中，以便后续报文的转发。扫描绑定功能即通过交换机向局域网或VLAN发送指定IP段的ARP请求报文，当收到相应的ARP应答报文时，将分析ARP应答报文来获得四元信息。由此可见，通过扫描绑定功能可以很方便的将局域网用户的四元信息进行绑定。DHCP侦听随着网络规模的不断扩大和网络复杂度的提高，经常出现计算机的数量超过可供分配的IP地址的情况。同时随着便携机及无线网络的广泛使用，计算机的位置也经常变化，相应的IP地址也必须经常更新，从而导致网络配置越来越复杂。DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）是在BOOTP协议基础上进行了优化和扩展而产生的一种网络配置协议，并有效解决了上面这些问题。DHCP工作原理DHCP采用“客户端/服务器”通信模式，由客户端向服务器提出配置申请，服务器返回为客户端分配的IP地址等配置信息，以实现网络资源的动态配置。通常一台服务器可以为多台客户端分配IP，如图所示：针对DHCP客户端的需求不同，DHCP服务器提供三种IP地址分配策略：1) 手工分配地址：由管理员为少数特定客户端（如WWW服务器等）静态绑定IP地址。通过DHCP将固定IP地址分配给客户端。2) 自动分配地址：DHCP服务器为客户端分配租期为无限长的IP地址。3) 动态分配地址：DHCP服务器为客户端分配具有一定有效期限的IP地址，当使用期限到期后，客户端需要重新申请地址。绝大多数客户端均通过动态分配地址的方式获取IP地址，其获取IP地址的过程如下图所示：1) 发现阶段，客户端以广播方式发送DHCP-DISCOVER报文寻找DHCP服务器。2) 提供阶段，DHCP服务器接收到客户端发送的DHCP-DISCOVER报文后，根据IP地址分配的优先次序从地址池中选出一个IP地址，与其它参数一起通过DHCP-OFFER报文发送给客户端（发送方式根据客户端发送的DHCP-DISCOVER报文中的flag字段决定，具体请见DHCP报文格式的介绍）。3) 选择阶段，如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文，客户端只接受第一个收到的DHCP-OFFER报文，然后以广播方式发送DHCP-REQUEST报文，该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。4) 确认阶段，DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后，只有DHCP客户端选择的服务器会进行如下操作：如果确认地址分配给该客户端，则返回DHCP-ACK报文；否则将返回DHCP-NAK报文，表明地址不能分配给该客户端。Option 82 DHCP报文格式基于BOOTP的报文格式，共有8种类型的报文，每种报文的格式相同。DHCP和BOOTP消息的不同主要体现在选项（Option）字段，并利用Option字段来实现功能扩展。例如DHCP可以利用Option字段传递控制信息和网络配置参数，实现地址的动态分配，为客户端提供更加丰富的网络配置信息。更多DHCP Option选项的介绍，请参见RFC 2132。Option 82选项记录了DHCP客户端的位置信息，交换机接收到DHCP客户端发送给DHCP服务器的请求报文后，在该报文中添加Option 82，并转发给DHCP服务器。管理员可以从Option 82中获得DHCP客户端的位置信息，以便定位DHCP客户端，实现对客户端的安全和计费等控制。支持Option 82的服务器还可以根据该选项的信息制订I