ARP（Address Resolution Protocol，地址解析協議）用于將網絡層的IP地址解析為數據鏈路層地址。IP地址只是主機在網絡層中的地址，如果要將網絡層中數據包傳送給目的主機，必須知道目的主機的數據鏈路層地址（比如以太網絡MAC地址）。因此必須將IP地址解析為數據鏈路層地址。

ARP協議用于將IP地址解析為MAC地址，并在主機內部維護一張ARP表，記錄最近與本主機通信的其它主機的MAC地址與IP地址的對應關系。當主機需要與陌生主機通信時，首先進行ARP地址解析，ARP地址解析過程如圖所示：

1) A在自己的ARP表中查詢是否存在主機B的IP地址和MAC地址的對應條目。若存在，直接向主機B發送數據。若不存在，則A向整個局域網中廣播一份稱為“ARP請求”的數據鏈路幀，這個請求包含發送端（即主機A）的IP地址和MAC地址以及接收端（即主機B）的IP地址。

2) 局域網的每個主機接收到主機A廣播的ARP請求后，目的主機B識別出這是發送端在詢問它的IP地址，于是給主機A發出一個ARP應答。這個應答包含了主機B的MAC地址。

3) 主機A接收到主機B發出的ARP應答后，就將主機B的IP地址與MAC地址的對應條目添加自己的ARP表中，以便后續報文的轉發。

掃描綁定功能即通過交換機向局域網或VLAN發送指定IP段的ARP請求報文，當收到相應的ARP應答報文時，將分析ARP應答報文來獲得四元信息。由此可見，通過掃描綁定功能可以很方便的將局域網用戶的四元信息進行綁定。

DHCP偵聽

隨著網絡規模的不斷擴大和網絡復雜度的提高，經常出現計算機的數量超過可供分配的IP地址的情況。同時隨著便攜機及無線網絡的廣泛使用，計算機的位置也經常變化，相應的IP地址也必須經常更新，從而導致網絡配置越來越復雜。DHCP（Dynamic Host Configuration Protocol，動態主機配置協議）是在BOOTP協議基礎上進行了優化和擴展而產生的一種網絡配置協議，并有效解決了上面這些問題。

DHCP工作原理

DHCP采用“客戶端/服務器”通信模式，由客戶端向服務器提出配置申請，服務器返回為客戶端分配的IP地址等配置信息，以實現網絡資源的動態配置。通常一臺服務器可以為多臺客戶端分配IP，如圖所示：

針對DHCP客戶端的需求不同，DHCP服務器提供三種IP地址分配策略：

1) 手工分配地址：由管理員為少數特定客戶端（如WWW服務器等）靜態綁定IP地址。通過DHCP將固定IP地址分配給客戶端。

2) 自動分配地址：DHCP服務器為客戶端分配租期為無限長的IP地址。

3) 動態分配地址：DHCP服務器為客戶端分配具有一定有效期限的IP地址，當使用期限到期后，客戶端需要重新申請地址。

絕大多數客戶端均通過動態分配地址的方式獲取IP地址，其獲取IP地址的過程如下圖所示：

1) 發現階段，客戶端以廣播方式發送DHCP-DISCOVER報文尋找DHCP服務器。

2) 提供階段，DHCP服務器接收到客戶端發送的DHCP-DISCOVER報文后，根據IP地址分配的優先次序從地址池中選出一個IP地址，與其它參數一起通過DHCP-OFFER報文發送給客戶端（發送方式根據客戶端發送的DHCP-DISCOVER報文中的flag字段決定，具體請見DHCP報文格式的介紹）。

3) 選擇階段，如果有多臺DHCP服務器向該客戶端發來DHCP-OFFER報文，客戶端只接受第一個收到的DHCP-OFFER報文，然后以廣播方式發送DHCP-REQUEST報文，該報文中包含DHCP服務器在DHCP-OFFER報文中分配的IP地址。

4) 確認階段，DHCP服務器收到DHCP客戶端發來的DHCP-REQUEST報文后，只有DHCP客戶端選擇的服務器會進行如下操作：如果確認地址分配給該客戶端，則返回DHCP-ACK報文；否則將返回DHCP-NAK報文，表明地址不能分配給該客戶端。

Option 82

DHCP報文格式基于BOOTP的報文格式，共有8種類型的報文，每種報文的格式相同。DHCP和BOOTP消息的不同主要體現在選項（Option）字段，并利用Option字段來實現功能擴展。例如DHCP可以利用Option字段傳遞控制信息和網絡配置參數，實現地址的動態分配，為客戶端提供更加豐富的網絡配置信息。更多DHCP Option選項的介紹，請參見RFC 2132。

Option 82選項記錄了DHCP客戶端的位置信息，交換機接收到DHCP客戶端發送給DHCP服務器的請求報文后，在該報文中添加Option 82，并轉發給DHCP服務器。管理員可以從Option 82中獲得DHCP客戶端的位置信息，以便定位DHCP客戶端，實現對客戶端的安全和計費等控制。支持Option 82的服務器還可以根據該選項的信息制訂IP地址和其它參數的分配策略，提供更加靈活的地址分配方案。

Option 82最多可以包含255個子選項。若定義了Option 82，則至少要定義一個子選項。目前本交換機支持兩個子選項：Circuit ID（電路ID子選項）和Remote ID（遠程ID子選項）。由于Option 82的內容沒有統一規定，不同廠商通常根據需要進行填充。目前本交換機對子選項的填充內容如下，電路ID子選項的填充內容是接收到DHCP客戶端請求報文的端口所屬VLAN的編號以及端口號，遠程ID子選項的填充內容是接收到DHCP客戶端請求報文的DHCP Snooping設備的MAC地址。

DHCP服務欺騙攻擊

在DHCP工作過程中，通常服務器和客戶端沒有認證機制，如果網絡上存在多臺DHCP服務器，不僅會給網絡造成混亂，也對網絡安全造成很大威脅。這種網絡中出現非法的DHCP服務器，通常分為兩種情況：

1) 用戶不小心配置的DHCP服務器，由此引起的網絡混亂非常常見。

2) 黑客將正常的DHCP服務器中的IP地址耗盡，然后冒充合法的DHCP服務器，為客戶端分配IP地址等配置參數。例如黑客利用冒充的DHCP服務器，為用戶分配一個經過修改的DNS服務器地址，在用戶毫無察覺的情況下被引導至預先配置好的假的金融網站或電子商務網站，騙取用戶的帳戶和密碼，如圖所示。

DHCP偵聽是運行在交換機上的一種DHCP安全特性。通過設置DHCP服務器的連接端口為授信端口，只處理授信端口發來的DHCP響應報文；通過監聽DHCP報文，記錄用戶從DHCP服務器獲取局域網用戶的四元信息，進行綁定后與ARP攻擊防護、IP源防護等安全功能配合使用；同時也可以過濾不可信任的DHCP信息，防止局域網中發生DHCP服務欺騙攻擊，提高網絡的安全性。

ARP防護

根據所述的ARP地址解析過程可知，利用ARP協議，可以實現相同網段內的主機之間正常通信或者通過網關與外網進行通信。但由于ARP協議是基于網絡中的所有主機或者網關都為可信任的前提制定的，因此在實際復雜的網絡中，此過程存在大量的安全隱患，從而導致針對ARP協議的欺騙攻擊非常常見。網關仿冒、欺騙網關、欺騙終端用戶和ARP泛洪攻擊均是在學校等大型網絡中常見的ARP攻擊，以下簡單介紹這幾種常見攻擊：

網關仿冒

攻擊者發送錯誤的網關MAC給受害者，而網絡中的受害者收到這些ARP響應報文時，自動更新ARP表，導致不能正常訪問網絡。如圖所示。

如圖，攻擊者發送偽造的網關ARP報文給局域網中的正常用戶，相應的局域網用戶收到此報文后更新自己的ARP表項。當局域網中正常用戶要與網關進行通信時，將數據包封裝上錯誤的目的MAC地址，導致通信中斷。

欺騙網關

攻擊者發送錯誤的終端用戶的IP/MAC的對應關系給網關，導致網關無法和合法終端用戶正常通信。如圖所示。

如圖，攻擊者發送偽造的用戶A的ARP報文給網關，網關收到此報文后更新自己的ARP表項，當網關與局域網中用戶A進行通信時，將數據包封裝上錯誤的目的MAC地址，導致通信中斷。

欺騙終端用戶

攻擊者發送錯誤的終端用戶/服務器的IP/MAC的對應關系給受害的終端用戶，導致同網段內兩個終端用戶之間無法正常通信。如圖所示。

如圖，攻擊者發送偽造的用戶A的ARP報文給用戶B，用戶B收到此報文后更新自己的ARP表項，當用戶B與用戶A進行通信時，將數據包封裝上錯誤的目的MAC地址，導致通信中斷。

中間人攻擊

攻擊者不斷向局域網中計算機發送錯誤的ARP報文，使受害主機一直維護錯誤的ARP表項。當局域網主機互相通信時，將數據包發給攻擊者，再由攻擊者將數據包進行處理后轉發。在這個過程中，攻擊者竊聽了通信雙方的數據，而通信雙方對此并不知情。這就是中間人攻擊。如圖所示。

假設同一個局域網內，有3臺主機通過交換機相連：

A主機：IP地址為192.168.0.101，MAC地址為00-00-00-11-11-11；

B主機：IP地址為192.168.0.102，MAC地址為00-00-00-22-22-22；

攻擊者：IP地址為192.168.0.103，MAC地址為00-00-00-33-33-33。

1. 首先，攻擊者向主機A和主機B發送偽造的ARP應答報文。

2. A主機和B主機收到此ARP應答后，更新各自的ARP表。

3. A主機和B主機通信時，將數據包發送給錯誤的MAC地址，即攻擊者。

4. 攻擊者竊聽了通信數據后，將數據包處理后再轉發到正確的MAC地址，使A主機和B主機保持正常的通信。

5. 攻擊者連續不斷地向A主機和B主機發送偽造的ARP響應報文，使二者的始終維護錯誤的ARP表。

在A主機和B主機看來，彼此發送的數據包都是直接到達對方的，但在攻擊者看來，其擔當的就是“第三者”的角色。這種嗅探方法，也被稱作“中間人”的方法。

ARP泛洪攻擊

攻擊者偽造大量不同ARP報文在同網段內進行廣播，消耗網絡帶寬資源，造成網絡速度急劇降低；同時，網關學習此類ARP報文，并更新ARP表，導致ARP表項被占滿，無法學習合法用戶的ARP表，導致合法用戶無法訪問外網。

在本交換機中，通過四元綁定功能在用戶接入交換機時即對用戶的四元信息進行綁定；而在ARP防護功能中則利用在交換機中綁定的四元信息對ARP報文進行檢查，過濾非法ARP報文。通過上述兩步可以很好的對局域網中ARP攻擊進行防御。