一、ARP
1.1、概述
ARP为IP地址到对应的硬件地址之间提供动态映射。
RARP是被那些没有磁盘驱动器的系统使用(一般是无盘工作站或X终端) ,它需要系统管理员进行手工设置。
1.2、高速ARP缓存
ARP高效运行的关键是由于每个主机上都有一个ARP高速缓存。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。从伯克利系统演变而来的系统一般对完整的表项设置超时值为20分钟,而对不完整的表项设置超时值为3分钟。
1.3、ARP的分组格式
在以太网上解析IP地址时,ARP请求和应答分组的格式如下图:
- 硬件类型字段表示硬件地址的类型。它的值为 1即表示以太网地址;
- 协议类型字段表示要映射的协议地址类型。它的值为0x0800即表示IP地址;
- 硬件地址长度 6 字节;
- 协议地址长度4字节;
- 操作字段指出四种操作类型:
| 操作类型 | 值 |
|---|---|
| ARP请求 | 1 |
| ARP应答 | 2 |
| RARP请求 | 3 |
| RARP应答 | 4 |
1.4、ARP代理
在路由器没有开启ARP-Proxy的时候,ARP默认会被阻挡在广播域内;
在路由器开启ARP-Proxy的时候,路由器AR1会欺骗主机PC1和PC2。
1.4.1、没有开启ARP代理抓包分析
1.4.2、开启ARP代理抓包分析
在AR1上开启ARP代理功能
[Huawei-GigabitEthernet0/0/0]arp-proxy enable
G0/0/0接口数抓包:
路由器AR1与PC1之间的ICMP数据包:
G0/0/1接口数据抓包:
路由器AR1与PC2之间的ICMP数据包:
1.5、免费ARP
作用:
1、检测IP地址冲突
2、如果发送免费ARP的主机正好改变了硬件地址(很可能是主机关机了,并换了一块接口卡,然后重新启动),那么这个分组就可以使其他主机高速缓存中旧的硬件地址进行相应的更新
AR1_Wireshark抓包:
地址冲突时_Wireshark抓包:
如果收到reply报文,则代表IP地址冲突
>交换机日志警告:
>Apr 6 2018 20:32:13-08:00 Huawei %%01ARP/4/ARP_DUPLICATE_IPADDR(l)[11]:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=1.1.1.1, InterfaceName=GigabitEthernet0/0/0, MacAddress=00e0-fcfc-5d86)
二、ICMP
2.1、概述
ICMP报文是在IP数据报内部被传输的。
2.2、报文格式
所有报文的前4个字节都是一样的,但是剩下的其他字节则互不相同。
2.3、ICMP报文类型
