渠道培训--H3C 3G无线宽带及MSR新特性ppt课件

H3C3G无线宽带及MSR新特性培训 H3C商业技术部马目录 3G无线宽带接入方案金融POS接入方案可定制IVR解决方案SSLVPN解决方案ARP病毒防御解决方案 以上均为基于H3CMSR多业务路由器实现 支持上述功能的最新MSR软件版本已经正式发布 3G来了 请问 以下3G宣传口号各是哪家运营商的 请问 各家运营商分别采用的是哪种3G标准 中国电信 中国移动 中国联通 中国电信 中国移动 中国联通 CDMA2000 TD SCDMA WCDMA H3C也已正式发布了3G宽带接入方案 全面支持三种3G标准 更多3G背景知识 移动通信技术发展历程 更多知识请参考本页PPT备注说明 中联通当前主流2G技术 中移动当前主流2G技术 速率上限 85 6k 7 2M 速率上限 153k 3 1M 2 8M H3C哪些产品支持3G MSR融合3G方式 MSR通过外接3G Modem客户自购USB接口3G上网卡 插入MSRUSB接口 简单配置即可使用 操作类似MSR接入ADSLmodem的使用方式 一些运营商会打包销售3G包月服务送上网卡 总体成本可能会便宜 MSR提供专用的3G无线模块客户采购H3CSIC 3G无线模块 插入MSRSIC插槽 简单配置即可使用 操作类似MSR插入一块ADSLSIC模块 内置于路由器更安全 和普通MSR接口一样可提供全面网管手段需另外向运营商购买3G上网服务费 总体成本略贵 H3CMSR全系列产品均可支持3G 该接口将被运营商分配一个动态公网IP地址 可直接上Internet或配置VPN互联 H3CMSR支持3G有哪些优势 MSR融合3G优势 可以直接提供灵活 方便的高速无线上网 对有线通信链路提高智能备份 负载分担等 提高链路高可靠性 采用路由器强大的安全和数据加密功能 在3G自身安全措施基础上 进一步大幅提升3G无线通信应用安全性 结合MSR W款型或SIC wifi插卡 一台MSR仅需连接电源线就能提供3G无线和WiFi无线直接的信息交换 带来了组网的极大便利性 3G通信接口的标准化保证了3G模块功能的完善性 灵活的USB方式 可以让客户既能平时自用笔记本上网 又能应急 在监控编解码器后配合MSR 3G组网 可以提供非常灵活的无线监控 接入特性NAT 包过滤防火墙 状态防火墙 攻击防范 p2p限流 QoS 链路备份 多链路负载分担 业务特性L2TP IPsecVPN SSLVPN 各种路由协议 策略路由 WLAN接入 VLAN隔离 端口安全 WiFi语音 管理特性TR069远程管理 WEB本地管理配置 链路和接口状态监测 H3C3G宽带接入如何应用 中国移动在固网接入资源上的缺乏 导致其将大力推动3G宽带接入 运营商竞争及3G网日渐成熟 3G接入势必在更多组网中替代或补充有线接入 几种典型组网 供参考 独立小企业 总部 分支互联 金融ATM机 移动或野外通信组网中常用到的MSR软件特性 独立的中小企业组网应用 1 MSR实现内部联网 既可以采用以太网有线连接方式 也可以采用WLAN无线连接方式 2 MSR上行可以采用独立的3G无线通信方式 也可以采用3G无线接口作为有线连接的备份及负载分担方式进行通信 Internet MSR路由器 WLAN无线 WCDMACDMA2000TD SCDMA WiFiPDA 总部 分支型企业组网应用 1 企业利用设备实现总部和分支之间的联网 分支节点的设备可以采用3G无线或与有线通信结合的方式 2 考虑到应用安全 分支机构可以和总部设备采用VPN技术 具体采用哪种VPN技术根据实际情况和应用需求而定 一般来说 对于分支有网点路由器时适合采用IPSecVPN 3 公司总部运维中心可采用SNMP或TR069方式实现路由器的集中管理 网管中心 企业分支2 CAMS服务器 应用服务器 企业中心 MSR MSR MSR 企业分支1 数据加密隧道 金融ATM机无人值守银行应用 1 金融网点无人值守银行的ATM机采用MSR作为接入设备 该设备放到ATM机里面 通过3G无线连到银行网络中心 2 考虑到应用安全 ATM机里面的MSR路由器与中心的设备实现IPsec数据加密功能 骨干路由器 WAN 区域中心或总中心 至上级节点或成员机构 3G无线 MSR IPsec数据加密 ATM机 野外或移动通信应用场景 1 对于物理位置不固定的网络通信业务 很合适采用MSR路由器的3G通信方案 如救护车 警车 公交 移动指挥车 获取有线资源的场所也适合采用这种3G无线通信方案 2 考虑到应用安全 MSR路由器与中心的设备实现IPsec数据加密功能 总部 MSR Internet IPsec数据加密 SSLVPN MSR MSR 移动指挥车 海上采油平台 H3CMSR3G配置复杂吗 配置很简单 用MSRWEB网管直接配置和管理3GSIC接口卡 3GUSB上网卡 步骤1 步骤2 步骤3 H3CMSR3G接口状态可实时掌握 以上即为MSR采用中国电信CDMA20003G上网卡 EC1260 的状态信息 H3CMSR已支持哪些SIC 3G模块 SIC 3G GSM模块 SIC 3G GSM是MSR路由器产品的SIC3G接入模块 在SIC 3G GSM卡中嵌入一个3G模块 使MSR全系列路由器产品平滑升级支持3G无线接入 其功能与外置3GModem完全一致 支持3GPPRelease99 Release5标准 支持UMTS WCDMA HSDPA HSUPA EDGE GPRS五种数据业务模式 H3CMSR已支持哪些3G上网卡 贵吗 3G上网卡资费套餐供参考 中国联通 可见 通过H3CMSR 企业用户可以用较低的成本就能实现3G无线宽带接入 目录 3G无线宽带接入方案金融POS接入方案可定制IVR解决方案SSLVPN解决方案ARP病毒防御解决方案 以上均为基于H3CMSR多业务路由器实现 H3C金融POS接入业务 H3C于2002年6月份推出基于中低端路由器的POS接入方案 它是全球第一家也是目前唯一的一家提供基于通用网络设备平台的POS接入方案 POS应用情况 近2000块FCM单板 共10000多个模拟接入端口1000多台路由器提供POS接入设备的应用研发维护队伍 200人的中低端路由器产品开发和维护队伍售后支持队伍 统一纳入到公司的整个维护服务体系 PSTN拨号接入方式 满足省集中模式和地市分布模式两种方式的POS拨号接入应用 通信资源丰富 有电话的地方就可以部署交易业务稳定 交易时间比较长 酒店 加油站 骨干路由器 WAN 小型商户 区域中心或总中心 至上级节点或成员机构 PSTN MSR路由器 PBX拨号接入方式 使用小交换机拨号 节省通信费用接入POS机的数量易于控制 不受外面商户的影响 大型商场 PBX小交换机 骨干路由器 WAN 区域中心或总中心 至上级节点或成员机构 MSR路由器 无线POS接入方式 WLAN 无线AP WAN GPRS CDMA 不需要布线 适合于场所不固定或有线通信线路资源紧缺的场合交易速度快但线路不是很稳定 另外 安全性需要加以考虑 骨干路由器 WAN 区域中心或总中心 至上级节点或成员机构 MSR路由器 异步串口专线接入方式 使用小交换机拨号 节省通信费用接入POS机的数量易于控制 不受外面商户的影响 大型商场 异步串口 骨干路由器 WAN 区域中心或总中心 至上级节点或成员机构 MSR路由器 H3C金融POS接入功能 下联方式 支持PSTN的模拟拨号接入方式支持无线CDMA GPRS 3G的接入方式支持异步串口的专线接入方式支持以太网POS机接入方式支持POSPAD接入方式上联方式 支持基于任何接口和通信链路的TCP IP连接方式 以太网 DDN专线 E1等等 支持基于异步串口方式的上行连接方式业务特性和功能 支持ISO8583标准协议支持EMV标准 允许转发2K大小的报文 支持SDLC协议 V 22bisModem协议 同步1200bps 支持基于TPDU机制的多应用映射功能支持智能拨号备份功能 H3C方案主要特点 基于H3C路由器的POS接入方案主要有如下特点 基于标准和通用的网络通信平台 易于配置和维护管理 适应网络IP化和一体化潮流支持标准的协议 ISO8583协议 V 22BisModem SDLC协议等支持EMV标准 能够转发2K大小的POS报文主机设备系列丰富 接入密度高 单机最高支持48路模拟接入 配置简单方便 通过命令行或SNMP网管即可实现可管理性强 并实现对设备 板卡和业务的统一的SNMP网管 H3C方案主要优势 基于H3C路由器的POS接入方案主要有如下优势 相对于专用接入设备 具有很高的性价比优势路由器处理性能强 硬件资源配置高 能够适应高负荷的业务兼容性好 对现有的POS应用环境不需要做任何改动 有效保护用户的投资数据网络功能强大 提供其它丰富的网络增值服务 如哑终端接入 ATM接入 语音等业务安全性高 可利用路由器的认证 加密等手段保证业务的安全依赖网络设备灵活多样的备份技术和机制提供金融POS接入的高可靠性 支持的路由器和单板模块 MSR50 60 MSR30 60 6个MIM插槽 最大可提供6 6 36路POS拨号接入端口 同时支持两个固定的千兆以太网接口 转发性能为360Kpps 64字节 提供外置冗余电源 FCM模块 MIM 4FCMMIM 6FCMFIC 4FCMFIC 6FCM 支持每个模块上4 6个接口两种规格 其中MIM 4 6FCM拨用于MSR系列设备 FIC 4 6FCM用于MSR系列 支持模块热插拔功能 6个FIC插槽 最大可提供6 6 36路POS拨号接入端口 同时支持两个固定的千兆以太网接口 转发性能为800Kpps 2MKpps 64字节 提供两种转发性能的主控板 该设备提供物理硬件的高可靠性 冗余双电源 电源模块 风散和接口模块的热插拔功能 兼容的POS终端 基于H3C中低端路由器的POS接入方案同国内市场出现的几乎所有POS终端类型有个兼容测试或配合使用 并得到了网上实际应用的检验和验证 兼容的终端型号有 HYPERCOMVERIFONE实达瑞柏国光PHILIPSAGEM安智百富利普门新大陆银达 和传统基于网控器的POS接入方案对比 H3C公司POS接入方案的应用案例介绍 H3C公司于2002年6月份就推出基于中低端路由器的POS接入方案 在国内几乎全部的金融系统中得到了广泛的应用 包括四大银行 中小行及邮政等各个金融系统 并且利用H3C路由器完成全省范围内改造的案例很多 安徽建行全省POS联网河北建行全省POS联网山西省建行全省POS联网四川建行POS网控器升级改造贵州建行POS接入改造广东建行外币卡收单业务处理系统POS接入改造天津建行POS接入改造吉林建行POS接入改造 工行POS接入EMV改造 福建分行工行POS接入EMV改造 四川分行工行POS接入EMV改造 辽宁分行工行POS接入EMV改造 云南分行江西省工行POS接入改造青岛工行POS接入改造 广西农行POS接入河南农行POS接入安徽农行POS接入北京银行POS接入攀枝花商业银行西安商业银行 河北交通银行POS联网改造贵州邮政POS接入项目山东中行部分地市的改造广西中行全省POS接入改造 目录 3G无线宽带接入方案金融POS接入方案可定制IVR解决方案SSLVPN解决方案ARP病毒防御解决方案 以上均为基于H3CMSR多业务路由器实现 可定制IVR介绍 IVR InteractiveVoiceResponse 交互式语音应答系统 在语音应用中使用非常广泛 主要用来定制交互的操作过程 协助其它业务达到更人性化的目的 可定制语音IVR功能实现由用户根据自己的实际需求定制满足不同业务需要的交互式语音操作过程 例如添加 修改 删除声音文件及流程等 使得用户在拨打IVR接入号 处理各类业务时 操作更加清晰 易懂 在语音的提示指导下 快速完成相关的业务办理 IVR应用举例 用户拨打XXXX接入IVR系统 播放提示音 欢迎访问XX系统 查号请拨0 转接张三请按1 转接李四请按2 转接王五请按3 转接张三 用户按1 用户按2 转接李四 人工台 用户按0 IVR应用举例 用户按3 转接王五 可定制IVR技术 传统的交互式语音系统采用固定的操作流程 用户不能根据自己的需求改变声音文件及流程 语音IVR系统可以由用户根据自己业务需要定制符合自己的交互式语音系统 主要功能如下 可定制提示音 本系统中的提示音可以采用独立文件的形式存储在设备上 用户可根据自己的需求录制个性化的提示音 然后使用H3C公司提供的转换工具对录制的声音文件进行格式转换 最后再将转换后的文件下载到语音设备上 就能够播放用户定制的提示音 系统中的提示音文件的添加 删除 修改操作简单 使用方便 即时生效 可定制流程 用户可以根据业务需求轻松定制人机交互流程 可以配置自己的IVR接入号 可以定制提示声音 可以配置同提示音结合的按键流程等 可定制出错处理机制 在Call节点和Jump节点下可以定制当前节点用户出错后的处理方式 目前提供的出错处理机制有三种方式 结束呼叫 跳转到某个指定节点 返回上级节点 出错处理机制既可以在节点下配置 也可以进行全局配置 可定制超时处理机制 在Call节点和Jump节点下可以定制当前节点用户按键超时后的处理方式 目前提供的超时处理机制有三种方式 结束呼叫 跳转到某个指定节点 返回上级节点 超时处理机制既可以在节点下配置 也可以进行全局配置 可定制IVR技术 编码格式丰富 系统提供丰富的编码格式 目前支持的四种提示音语音格式 G 711alaw G 711ulaw G 723r53和G 729r8 这些格式可以使用H3C公司提供的转换工具进行相互转换 各种格式优缺点互补 G 711alaw G 711ulaw格式音质好 但是占用的存储空间大 G 723r53 G 729r8格式音质稍差点 但是占用存储空间小 采用节点方式 IVR主要以节点为单位进行配置活动 简化用户的配置 便于使用 共有三类节点 Call节点 Jump节点 Service节点 每类节点完成单一功能 组合在一起可以实现复杂的IVR功能 Call节点 实现二次呼叫功能 Jump节点 定制用户选择按键流程 Service节点 实现立即二次呼叫 自动跳转 结束呼叫和放音等功能 支持的跳转级别多 可以配置连续8级的跳转 二次呼叫类型丰富 支持立即二次呼叫 普通二次呼叫和扩展二次呼叫 立即二次呼叫 用户不需要拨入任何电话按键即可进行的二次呼叫为立即二次呼叫 立即二次呼叫通过Service节点实现 普通二次呼叫 输入两次号码才能完成的呼叫称为普通二次呼叫 可以根据实际业务需要 选择根据匹配号码的长度 配置结束符或随时匹配号码三种方式中的一种来实现普通二次呼叫 普通二次呼叫通过Call节点实现 扩展二次呼叫 通过配置输入的号码和扩展二次呼叫的电话号码的对应关系 可以实现通过拨打扩展号的扩展二次呼叫 H3CMSRIVR典型组网应用 总部 分支机构 MSR50IVR MSR30IVR IM客户端 IM客户端 IVR为MSR自带软件特性 无需另配硬件模块 通常应用在VOIP OCS整网方案中 目录 3G无线宽带接入方案金融POS接入方案可定制IVR解决方案SSLVPN解决方案ARP病毒防御解决方案 以上均为基于H3CMSR多业务路由器实现 SSLVPN是以HTTPS SecureHTTP 安全的HTTP 即支持SSL的HTTP协议 为基础的VPN技术 工作在传输层和应用层之间 SSLVPN充分利用了SSL协议提供的基于证书的身份认证 数据加密和消息完整性验证机制 可以为应用层之间的通信建立安全连接 与企业现有认证服务器结合 对用户行为进行审计 从功能上有网络访问 网上应用程序 Windows文件共享 移动电子邮件 应用程序访问 传统主机 终端服务器等众多功能 可以提供C S应用和B S应用访问 并非只能解决web应用 1 2 3 什么是SSLVPN SSLVPN能提供什么功能 谁需要用SSLVPN SSLVPN概述 企业的员工可以在家中 路上 网吧 旅馆 使用自己的 别人的 公用的电脑或手机 通过ADSL网络 小区宽带网络 移动电话网络 无线网络等多种接入网络 远程访问公司的信息系统 合作伙伴等非员工有限访问某些服务器 Web页面或文件 提高企业生产率 SSLVPN系统一般由五部分组成 1 远程主机 是用户远程接入的终端设备 可以是个人电脑 手机 PDA等 其上运行主要的客户端软件有 Web浏览器 主机检查器 缓存清除器 TCP接入客户端 IP接入客户端2 SSLVPN网关 是建立SSLVPN所需的唯一网络设备 它包括 用户登录管理模块 Web接入模块 TCP接入模块 IP接入模块 3 CA服务器 SSLVPN网关需要CA服务器提供的公钥证书 才能建立SSL加密连接 此外 企业还可以部署PKI系统 使用户通过PKI证书进行身份认证 4 认证服务器 SSLVPN网关一般都支持本地认证 即使用SSLVPN网关上的认证数据库对用户的身份进行认证 此外 为了更好地与原有网络系统集成 SSLVPN网关还支持通过外部的认证服务器对用户的身份进行认证 一般支持的认证方式有 Radius LDAP AD等 5 网络服务器 可以是各种应用服务器 如 Web服务器 数据库服务器 文件共享服务器 Telnet FTP等等 SSLVPN系统组成 MSR路由器跨接在内网和外网之间 作为网关设备 处在内外通讯的关键路径上 其性能和稳定性对内外网之间的数据传输有很大的影响 SSLVPN典型部署 双臂模式 MSR路由器只相当于一台代理服务器 代理远程的请求 与内部服务器进行通讯 此时不处在网络通讯的关键路径上 不会造成单点故障 SSLVPN典型组网 单臂模式 MSRSSLVPN优点 优点 续1 优点 续2 MSRSSLVPN卖点 强大的平台 MSR路由器是H3C公司专门面向行业分支机构和大中型企业推出的全新一代路由器网络产品 该系列产品将安全 交换 语音 无线和开放式业务完美地集成在一起 能够为企业用户提供一体化的网络解决方案 同时可充分满足未来业务扩展的多元化应用需求 强大的路由转发平台提供保证 MSRSSLVPN卖点 丰富的模块接口 SSLVPN作为MSR路由器安全业务下的一个子功能模块 不仅具有SSLVPN本身强大的功能和丰富的特性 而且具有同MSR路由器其它业务模块配合提供更多的业务能力 如结合MSR路由器的QoS技术可提供灵活和可靠的业务保证 结合VoIP技术可以提供基于SSLVPN的IP语音电话 结合MSR路由器独特的NQA BFD技术可以提供高可靠性的保障等等 总之 基于MSR路由器的SSLVPN完全可以等同于一个专业SSLVPN产品 同时还具有专业VPN产品所不具有的高性价比特点 用户用较低的成本不仅买到了等同于专业SSLVPN的设备 而且还得到了更多的产品附加的增值功能 真正体现的是 物超所值 丰富的模块接口实现功能扩展 MSRSSLVPN卖点 多种VPN技术一体 实现多种VPN技术的统一和硬件加速方案的共享 MSR路由器设备的安全功能和VPN技术最为丰富和完善 几乎囊括目前实际组网应用中的各种VPN技术 目前支持MPLSVPN IPSec L2TP GRE和SSLVPN几种VPN技术 特别是在实际应用组网过程中会同时需要部署和实施几种VPN技术时 如总部和分支机构之间采用IPsecVPN实现通信 而对于移动办公和出差人员则采用SSLVPN技术来实现通信 对于这种组合VPN应用 MSR路由器提供了最为灵活的选择方案 MSR路由器在实现VPN技术的同时也充分地考虑到了硬件资源的共享以最大程度地保护用户投资和提高部署实施的便利性 基于MSR路由器的加密扣卡不仅可以实现IPsecVPN的硬件加速 也可以实现SSLVPN的硬件加密功能 这不仅提高了IPSecVPN和SSLVPN的加密效率 还保证可以共享相同的硬件资源 这种价值保护对于用户来说是最需要的 MSRSSLVPN卖点 全面的安全性 传输加密采用标准的SSL协议 建立SSL加密连接 SSL协议具有反中间人攻击 反TCP劫持等较强的抗攻击能力 身份认证用户使用Web页面登录 可以提交用户名和密码进行身份认证 如果采用符合Windows标准的智能卡 通过IE浏览器就可以轻松实现对用户身份的证书认证 权限管理终结SSL连接 解析远程请求 向内部服务器进行转发 因而可以有较高的应用识别和访问控制能力 防病毒入侵对客户端进行安全状态的检查 对不安全的客户端可以限制其访问权限或者拒绝访问 从而避免网络危害的入侵 全面的安全性 MSRSSLVPN卖点 方便的接入方式 任何地点SSL协议报文承载于TCP报文之中 传输时不改变IP报文头和TCP报文头 因而不会受到NAT的影响 产生互联方面的问题 在穿越防火墙时 只需要防火墙打开TCP的443端口即可 减少了外部入侵的危险 任何时间SSLVPN可以比较容易地实现用户名 密码认证 或者证书认证 因而可以有效保证动态创建起来的SSL连接是安全的 任何设备 如果用户只打算访问Web应用 通过Web浏览器就可以使用SSLVPN了 如果用户需要运行一些基于TCP IP通讯的应用程序 则可以在登录SSLVPN网关后 通过网页下载相应的客户端做到 由于大多数操作系统都提供浏览器 因而SSLVPN在各种硬件平台 台式机 笔记本 手机 PDA 和软件平台 Windows Linux Unix 上得到广泛的支持 方便的接入方式 MSRSSLVPN卖点 灵活的使用维护 免安装SSLVPN为了支持某些TCP IP应用程序 需要使用客户端 但这些客户端可以通过网页自动下载 自动配置 自动运行 免维护在用户退出SSLVPN系统时 SSLVPN的客户端会将下载的客户端程序以及各种配置 临时文件一并清除 下次登录时 会重新下载最新的客户端程序 这样一来SSLVPN的维护工作都集中在网关上 减少了维护VPN客户端的工作量 灵活的使用维护 MSRSSLVPN卖点 完善的功能集成 认证的集成SSLVPN采用Portal方式进行登录认证 在获取用户名和密码后 可以通过与认证服务器的交互进行验证 从而很好地实现了与网络中已有认证系统的集成 应用的集成IP接入方式提供类似IPsecVPN的远程接入功能 可以实现远程主机与内部网络IP层的互联 TCP接入方式可以在不开放内部IP网络的情况下 支持TCP应用程序的远程访问 Web接入方式可以限制远程主机只能访问有限的URL地址或文件目录 避免了内部网络资源对外部的暴露 完善的功能集成 目录 3G无线宽带接入方案金融POS接入方案可定制IVR解决方案SSLVPN解决方案ARP病毒防御解决方案 以上均为基于H3CMSR多业务路由器实现 ARP病毒根源在ARP协议自身缺乏安全机制 硬件类型字段 表示硬件地址的类型 如果是以太网地址 此字段值为1 协议类型字段 表示要映射的协议地址类型 如果是IP地址 此字段值为0 x0800 硬件地址长度和协议地址长度 分别表示硬件地址和协议地址的字节长度 报文中占用的字段长度都是1个字节 对应于以太网中的ARP请求和应答 两个字段的值分别是6和4 即分别是MAC地址和IP地址的字节长度 OP 操作类型 字段用来表示ARP报文的类型 1表示ARP请求 2表示ARP应答 ARP自身缺陷 ARP协议机制 在满足灵活性和可扩展性的同时 也引入了安全隐患广播方式Stateless无确认 认证机制动态更新 喜新厌旧 仿冒网关攻击 欺骗网关 其他用户的攻击 ARP泛洪攻击 网络设备在处理ARP报文时需要占用系统资源 同时因为系统内存和查找ARP缓存表效率的要求 一般网络设备会限制ARP缓存表的大小 攻击者就利用这一点 通过一些构造报文的设备和软件 大量发送源IP地址变化的ARP报文 导致设备ARP缓存表溢出 合法用户的ARP报文不能生成有效的ARP缓存表项 导致正常通信中断 SpoofedARPPackages 主机A 攻击者 IP 10 0 0 3MAC 03 03 03 03 03 03 MSRARP防攻击 免费ARP 主机A 攻击者 IP 10 0 0 3MAC 03 03 03 03 03 03 主机BIP 10 0 0 2MAC 02 02 02 02 02 02 主机CIP 10 0 0 4MAC 04 04 04 04 04 04 独立或内置于MSR中的DHCPServer 免费ARP报文是一种特殊的ARP报文 该报文中携带的发送端IP地址和目标IP地址都是本机IP地址 报文源MAC地址是本机MAC地址 报文的目的MAC地址是广播地址设备通过对外发送免费ARP报文 实现以下功能 确定其它设备的IP地址是否与本机IP地址冲突 设备改变了硬件地址 通过发送免费ARP报文通知其他设备更新ARP表项 设备通过学习免费ARP报文 实现以下功能 对于收到的免费ARP报文 如果ARP表中没有与此报文对应的ARP表项 就将免费ARP报文中携带的信息添加到本地动态ARP映射表中 网关ARP表项 MSR MSRARP防攻击 授权ARP 主机A 攻击者 IP 10 0 0 3MAC 03 03 03 03 03 03 主机BIP 10 0 0 2MAC 02 02 02 02 02 02 主机CIP 10 0 0 4MAC 04 04 04 04 04 04 SpoofedARPPackages 主机A和主机B通过DHCPServer获得IP地址的同时 网关生成ARP缓存表项 授权表项不能通过被主机A伪造的报文动态修改主机A冒用其它合法主机的IP地址发送ARP请求 因为MAC地址不是网关所记录的授权ARP表项中的合法MAC地址 伪造的ARP请求将不能得到应答 从而限制冒用合法IP地址的主机上网 主机A 攻击者 IP 10 0 0 2MAC 03 03 03 03 03 03 授权ARP表项 独立或内置于MSR中的DHCPServer MSR MSRARP防攻击 自动扫描与静态ARP 主机A 攻击者 IP 10 0 0 3MAC 03 03 03 03 03 03 主机BIP 10 0 0 2MAC 02 02 02 02 02 02 主机CIP 10 0 0 4MAC 04 04 04 04 04 04 SpoofedARPPackages ARP自动扫描 就是对于局域网内的邻居进行扫描 向邻居发送ARP请求报文 获取邻居的MAC地址 自动扫描通常与静态ARP配合使用 可以对网络中重要的服务器或者主机进行保护 将主机B和主机C的IP地址和MAC地址的映射关系配置为静态ARP缓存表项 这种静态映射关系不但不能被伪造的ARP报文动态改写 而且同样会限制对非法ARP请求的应答 静态ARP的配置可以保护本设备的ARP缓存表不被改写 但是配置工作量大 且不适用于主机IP地址可能发生更改的网络环境 主机A 攻击者 IP 10 0 0 2MAC 03 03 03 03 03 03 静态ARP缓存表项 独立或内置于MSR中的DHCPServer MSR MSRARP防攻击 ARP主动确认 主机A 攻击者 IP 10 0 0 3MAC 03 03 03 03 03 03 主机BIP 10 0 0 2MAC 02 02 02 02 02 02 主机CIP 10 0 0 4MAC 04 04 04 04 04 04 SpoofedARPPackage