ARP原理
ARP是用来将一个IP地址映射到正确的MAC地址的协议。
ARP表项可以分为静态和动态两种,所谓动态ARP是使用ARP广播报文,动态执行并自动执行IP地址到以太网MAC地址的解析,无需网络手动配置;而静态ARP是建立IP地址与MAC地址之间固定的映射关系,在主机和路由器上不能动态调整此映射关系,需手动添加。
不论是计算机还是网络设备,都会有一个ARP缓存表,用来存放IP地址与MAC地址之间的映射,它们利用ARP请求与应答报文来刷新该表,再将三层数据包封装成二层数据帧,达到快速封装数据帧,正确转发数据的目的,而Proxy ARP是ARP的扩展应用。
Proxy ARP
代理ARP也就是Proxy ARP,当ARP请求从一台主机发出,用于解析同一三层逻辑网络却不在同一物理网段上的另一台主机的硬件地址时,连接它们的具有代理ARP功能的设备就可以应答该请求,是得处于不同物理网段的主机可以正常进行通信。
Proxy ARP实验网络拓扑
此种配置方法,在实际网络中,不常用,通常作为临时解决方案。
一般来说,如果IP网络过大,广播对网络的影响也相应增大,再不改变网络设备配置的情况下,由管理员在网络中透明的插入一台路由器,靠路由器分割出多个广播域,以降低广播对网络的影响,是可行的临时解决方案,此种做法缺点是主机间通信会因为引入额外的路由器而延迟增大,并且有瓶颈问题。
拓扑中,当主机1与主机2通信时,首先,主机要通过ip地址去获取对端主机的mac地址,会发送arp request(arp请求报文),arp请求报文是一个广播报文,整个192.168.1.0网段都会收到这个报文。
但是,主机1与主机2处于不同网络,arp请求会在路由器的G0/0/0终止,默认情况下,路由器是不会转发广播报文的。
为了解决这个问题,需要在路由器上启用arp 代理,在arp代理启用之后,路由器收到arp请求,会进行路由表的查询,如果存在主机2的路由条目,则路由器会将G0/0/0接口的mac地址来回应主机1,主机1收到路由器发送的arp reply,将以路由器的G0/0/0接口mac地址作为目的 mac地址,进行数据转发。
Client1(主机1):192.168.1.2
同理,Client2(主机2)IP配置为:192.168.2.2
AR1配置
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1
[AR1]int GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[AR1-GigabitEthernet0/0/0]arp-proxy enable //启用arp代理
[AR1-GigabitEthernet0/0/0]quit
[AR1]int GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[AR1-GigabitEthernet0/0/1]arp-proxy enable
[AR1-GigabitEthernet0/0/1]quit
配置完成后,从主机 1 ping 192.168.2.2,ping通了,反之也是如此。
PC>ping 192.168.2.2
Ping 192.168.2.2: 32 data bytes, Press Ctrl_C to break
From 192.168.2.2: bytes=32 seq=1 ttl=127 time=63 ms
From 192.168.2.2: bytes=32 seq=2 ttl=127 time=62 ms
From 192.168.2.2: bytes=32 seq=3 ttl=127 time=94 ms
From 192.168.2.2: bytes=32 seq=4 ttl=127 time=78 ms
From 192.168.2.2: bytes=32 seq=5 ttl=127 time=63 ms
ARP欺骗
当主机与网关有数据访问时,如果ARP表中没有目标IP、目标MAC的对应表项,ARP协议触发,向直连网段发送ARP广播请求包,请求目标IP所对应的MAC地址,网关收到后,回应单播的ARP响应报文,报文中,包含IP及MAC。
这种ARP协议的工作行为,往往容易被攻击者利用,如果攻击者通过抓包获取到IP及MAC,通过伪造的ARP报文(错误的IP及MAC映射),则主机或网关会把错误的映射更新到ARP表项中,那么当主机要发送数据到指定的IP地址时,从ARP得到了错误的MAC地址,并用它进行封装,导致数据帧无法正确发送。
如果内网中有主机中了ARP病毒,就会导致此类情况,那么如果遇到这种情况,应该先再路由器上使用display arp all检查设备的ARP缓存表(抓包也可以,抓取主机ping路由器的包,查看发往路由器的目的MAC是否正确),断网主机IP与MAC的映射关系是否正确,添加静态ARP表项,arp static 192.168.1.1 e022-83sx-3333。(静态ARP工作量大,更优的是动态ARP)