В чем разница между связыванием ARP и резервированием адресов DHCP?

45

В моем TL-WR1043ND у меня есть эти функции, и они оба связывают IP-адрес с MAC-адресом. В чем разница?

Я читал, что ARP по соображениям безопасности, другие говорят, что это для Wake-on-LAN. Я также читал, что нет никакой разницы, но в таком случае, почему у нас есть оба?

totymedli
источник
Не уверен, если дубликат superuser.com/questions/633945/…
grawity
@ grawity Нет. Фильтрация MAC-адресов и привязка ARP - разные вещи. Первый предназначен для управления доступом к сети, а второй - для назначения IP-адресов.
Тотемедли

Ответы:

47
  • « Резервирование адреса DHCP », в частности, означает, что маршрутизатор всегда будет предлагать данный адрес всякий раз, когда хост запрашивает его, используя протокол автоконфигурации DHCP.

    Тем не менее, только предложения DHCP были сделаны статическими, но кеш соседа IP → MAC маршрутизатора (он же кеш ARP) все еще заполняется динамически с использованием ARP.

    Это означает, что если вы обойдете DHCP и вручную настроите другой хост для использования зарезервированного адреса, это будет работать. Как только истекает срок записи в кэше «IP → старый MAC», маршрутизатор отправляет новый запрос ARP, узнает новый MAC-адрес, добавляет «IP → новый MAC» в кэш ARP, и пакеты отправляются на «новый» хост.

  • « Привязка ARP » не обязательно влияет на DHCP, но она добавляет фиксированную запись IP → MAC в соседний кеш маршрутизатора .

    Если другой хост попытается использовать тот же IP-адрес, маршрутизатор не узнает об этом. Он будет доверять фиксированной привязке IP → MAC и всегда будет посылать пакеты на «связанный» MAC-адрес, даже если хост фактически отключен.

    (Однако обратите внимание: когда два хоста в одной подсети обмениваются данными, они не проходят через маршрутизатор, а отправляют пакеты непосредственно друг другу. Поэтому они будут использовать свои собственные кэши соседей, но не будут зависеть от выполнения привязки ARP на маршрутизаторе. Будет затронут только интернет-трафик.)


Пока что связывание ARP в основном звучит как функция безопасности - оно частично предотвращает атаки «ARP spoofing» и работает, даже если DHCP полностью отключен.

В то же время, однако, это может вызвать еще большую путаницу, если маршрутизатор считает, что IP-адрес X был связан с MAC X, но остальная часть локальной сети узнала, что это на самом деле MAC Y ...

Это также не очень безопасно, так как MAC-адреса Ethernet тривиально изменить или подделать. Чтобы сделать его полезным, для всех коммутаторов в локальной сети также должна быть включена функция «липкий MAC-адрес».

Я вижу, что это несколько полезно для Wake-on-LAN, хотя, вероятно, не намного лучше, чем просто передача пакета волшебного следа.

grawity
источник
2
Наконец, ответ, где я вижу разницу, а не просто описание того, что делает эта вещь. Благодарность!
Тотимедли
Исходя из вашего вопроса, я не думаю, что вы хотите большой ответ.
Сюзана
Вердикт, что он не нужен обычному пользователю? Единственная цель для повышения безопасности? Мне не особо нужна охрана, я просто люблю делать все правильно.
felwithe
@felwithe: резервирование DHCP может быть полезным, например, если у вас есть принтер Wi-Fi, который в противном случае «забывает» об аренде. Но привязка ARP бесполезна для большинства людей.
grawity
Итак, безопасно ли настраивать обе записи (нужно только для переадресации портов и WOL)?
Алек Дэвис
4

В некоторых сетях существуют хосты, которым необходимо иметь фиксированные IP-адреса, например, сервер, принтер и т. Д., Что облегчит доступ к ним для пользователей и приложений, а также для того, чтобы ваша сеть использовала динамический Протокол конфигурации хоста (DHCP), который приписывает IPS хостам) и для тех фиксированных хостов, которые используют фиксированный IP, есть опция «MAC to IP» в вашем маршрутизаторе, которая резервирует эти IP и никогда не передает их другим хостам, которым они будут имеют разные IP со временем.

ARP: Протокол разрешения адресов, он используется для получения MAC-адреса с IP-адреса и в основном используется в локальных сетях (ЛВС), и, как известно, злоумышленники используют его для перенаправления сетевого трафика, как в Man-in- средние атаки.

Функция Wake-on-LAN зависит от MAC-адреса, чтобы работать, потому что, когда ПК выключен и WOL включен, единственным доступом к нему считается его MAC-адрес.

Сюзана
источник