arp以及端口隔離

地址解析協議（Address Resolution Protocol，ARP）是在僅知道主機的IP地址時確定其物理地址的一種協議。因IPv4和以太網的廣泛應用，其主要作用是通過已知IP地址，獲取對應物理地址的一種協議。但其也能在ATM(異步傳輸模式)和FDDIIP(Fiber Distributed Data Interface光纖分布式數據接口)網絡中使用。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層（IP層，也就是相當于OSI的第三層）地址解析為數據鏈路層（MAC層，也就是相當于OSI的第二層）的MAC地址。

在網絡層

arp地址解析工作過程   通過數據包目標ip地址  ---》如果，緩存中有的話找到目標mac地址進行封裝，不存在的話它就會發廣播找到，舉例如下：

在A不知道B的MAC地址的情況下，A就廣播一個ARP請求包，請求包中填有B的IP(192.168.1.2)，以太網中的所有計算機都會接收這個請求，而正常的情況下只有B會給出ARP應答包，包中就填充上了B的MAC地址，并回復給A。A得到ARP應答后，將B的MAC地址放入本機緩存，便于下次使用。本機MAC緩存是有生存期的，生存期結束后，將再次重復上面的過程。

ARP協議并不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，當局域網中的某臺機器B向A發送一個自己偽造的ARP應答，而如果這個應答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B偽造的ARP應答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經不是原來那個了。由于局域網的網絡流通不是根據IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網絡不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。

arp可以實現ip地址和mac地址的綁定，使用的命令如下：

arp static ip地址 mac地址

優點：避免廣播

     安全

RARP(逆向ARP)經常在無盤工作站上使用，以獲得它的邏輯IP地址。

rarp   自己mac  ---》自己ip  

端口隔離

   是為了實現報文之間的二層隔離，可以將不同的端口加入不同的VLAN，但會浪費有限的VLAN資源。采用端口隔離特性，可以實現同一VLAN內端口之間的隔離。用戶只需要將端口加入到隔離組中，就可以實現隔離組內端口之間二層數據的隔離。端口隔離功能為用戶提供了更安全、更靈活的組網方案。

交換機H3C

1、二層  一個隔離組

端口隔離：

int 端口ID

port isolate

這種情況是，只要被隔離的端口兩兩都不能通信，有局限性。

2、三層  多個隔離組   【am】

端口隔離：

am enable（啟動am功能）

int 端口ID

am isolate 要隔離的端口。跟指定的端口進行隔離（不需要在指定的端口上再配置端口隔離）  

端口+ip綁定：

am enable

int 端口ID

am ip-pool ip地址（可以寫指定ip，也可以使用后跟數字指定范圍）