ARP
Address Resolution Protocol,地址解析协议,网络设备有数据要发送给另一台网络设备时,必须要知道对方的网络层地址(即IP地址)。IP地址由网络层来提供,但是仅有IP地址是不够的,IP数据报文必须封装成帧才能通过数据链路层进行发送,数据帧必须要包含目的MAC地址,因此发送端还必须获取目的MAC地址。通过目的IP地址而获取目的MAC地址的过程是由ARP协议来实现的。ARP缓存表用来记录ARP信息,默认老化时间为1200S。
ARP直接封装在数据链路层之上,Type标识为0x0806,我们有时称ARP为2.5层协议。
reset arp all—清空ARP表(MAC与IP映射)
- ARP报文:
① Hardware Type:网络类型(以太网)
② Protocol Type:协议类型(IP/IPX)
③ Hardware Length:网络长度
④ Protocol Length:协议长度
⑤ Operation Code:可选code值(Response或Request)
⑥ Source Hardware Address:发送者Mac地址
⑦ Source Protocol Address:发送者IP地址
⑧ Destination Hardware Address:目标MAC地址
⑨ Destination Protocol Address:目标IP地址
(1)Request:
请求报文,广播地址,用于请求目标IP地址对应的MAC地址。
Request-ARP报文(广播报文)
(2)Response:
回复报文,用于被请求端将自己的MAC地址通知到请求端的单播报文。
Replay-ARP报文(单播报文)
2. ARP原理:
(1)同网段内获取目标终端MAC地址:
CLIENT1想要访问目标CLIENT2,根据自己的IP和子网掩码与运算得出192.168.1.3与自己为同一网段,直接发送ARP广播请求,CLENT2收到ARP请求后,回复自己的MAC地址给CLENT1。
(2)不同网段请求网关MAC地址:
CLIENT1想要访问目标CLIENT2,根据自己的IP和子网掩码与运算得出192.168.2.2与自己处于不同网段,此时发送ARP请求直接请求网关192.168.1.1的MAC地址,R1收到ARP请求后,将192.168.1.1端口的MAC地址回复给CLENT1。
-
ARP表项的创建与更新:
依据ARP协议描述,几乎所有的以太网通信都以ARP开始,所以任何以太网主机设备都支持这个协议,而且IP地址到以太网MAC地址的解析主要也是动态生成,无须网络管理员手工处理。
一般实现中,如果收到的ARP报文满足以下条件中的任何一条,系统将创建或更新ARP表项。
条件为:
① ARP报文的源IP地址与入接口IP地址在同一网段,且不是广播地址,目的IP地址是本接口IP地址。
② ARP报文的源IP地址与入接口IP地址在同一网段,且不是广播地址,目的IP地址是本接口的VRRP(Virtual Router Redundancy Protocol)虚拟IP地址。
③ ARP报文的源IP地址与入接口IP地址在同一网段,且不是广播地址,入接口是IPoEoA应用的Virtual-Ethernet接口。
④ ARP报文的目的IP地址是入接口上配置的NAT地址池中的地址。
⑤ 如果收到的ARP报文的源IP地址在入接口的ARP表中已经存在对应表项,也将对ARP表项进行更新。 -
免费ARP:
IP为唯一标识,在同一网段内,每台设备的IP都是唯一的,所以如果两台设置配置了相同的IP地址会出现问题,在配置静态IP时候或从DHCP获取IP地址成功时,主机都会发送基于此IP的免费ARP的MAC地址请求,如果有设备回应,表明IP地址冲突。
-
静态ARP:
ARP攻击:
如果攻击者发送伪造的ARP报文,而且报文里面所通告的IP地址和MAC地址的映射是错误的,则主机或网关会把错误的映射更笑道ARP表中。当主机要发送数据到指定的目标IP地址时,从ARP表里得到了不正确的硬件MAC地址,并使用封装数据帧,导致数据帧无法正确发送。
如果当前网络中的主机较少,可以使用静态ARP手工绑定IP与MAC地址。
[R1]arp static 10.1.1.1 5489-0001-0001 -
Proxy ARP:
Proxy ARP,即代理ARP,在开启了Proxy ARP功能后(华为设备默认不开启),当路由器接口收到一个ARP请求后,路由器会查找自己的路由表,如果路由表中存在去往ARP请求的MAC地址(IP),路由器会将与其同网段(相当于网关)的接口MAC作为相应回复ARP请求。
注1:只有路由器上存在路由条目明确指出了去往目的地的路由时,才会发送自己的网关MAC地址进行回复,如果PC所请求的目的地址没有响应的路由条目,则路由器不会回复ARP代理信息。
Proxy ARP分为三种类型:
① 路由式Proxy ARP
② vlan内代理ARP
③ vlan间代理ARP
(1)路由式Proxy ARP:
① PC1没有配置网关,想要访问目标PC2:
①R1的G0/0/0端口开启Proxy ARP功能:[Huawei-GigabitEthernet0/0/1]arp-proxy enable
②CLENT1访问192.168.2./24的网段,此时由于没有配置网关,于是直接发送AP请求请求192.168.2.2的MAC地址
③路由器R1在收到ARP请求后,查找路由表,192.168.2.2存在于路由表192.168.2.0/24的路由条目中,于是发送ARP回复将端口192.168.1.1的MAC作为回应应答CLENT1的请求。
配置命令:[Huawei-GigabitEthernet0/0/0]arp-proxy enable
② 特殊部署网段问题:
①CLIENT1访问192.168.2.2,使用与运算发现192.168.2.2与自己为同网段,直接发送ARP请求请求192.168.2.2的MAC地址
②在没有开启ARP代理的R1路由器上收到请求192.168.2.2的ARP请求,路由器默认会将此广播包丢弃
③在端口G0/0/0上开启arp代理功能之后,路由器R1收到广播包后,会将自己的G0/0/1端口的MAC地址回复给CLENT1
在没有开启arp代理之前默认丢弃arp广播报文:
开启ARP代理:
(2)VLAN内Proxy ARP:
在接口下使用命令[Huawei-Vlanif10]arp-proxy inner-sub-vlan-proxy enable启用
Vlan内的ARP代理功能
VLAN内代理ARP主要解决:
① 同vlan中pc互通问题,当实行了端口隔离的设备,隔离二层广播后,将导致arp无法正常解析,发送端无法正常封装数据包的目标MAC地址,此时使用vlan内Proxy ARP便可以解决此问题。
② Mux-Vlan中从Vlan之间互通问题(详见Mux-Vlan)
(3)VLAN间Proxy ARP:
解决不同Vlan之间对应计算机的三层互通问题,用于Super VLAN间解决子vlan无法互通问题。
2116
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
