ARP 及 Proxy ARP

最新推荐文章于 2025-02-25 16:55:19 发布
最新推荐文章于 2025-02-25 16:55:19 发布
阅读量2k 收藏 14
点赞数 6
分类专栏: 路由与交换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42248536/article/details/88636486
版权
本文介绍了ARP与Proxy ARP。ARP用于IP到MAC地址映射,分动态和静态。Proxy ARP可使不同物理网段主机通信。通过实验,展示了配置静态ARP防止ARP欺骗攻击,以及在路由器上配置ARP代理功能实现主机正常通信,还说明了ARP缓存表特性和攻击防御方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ARP 与 Proxy ARP的简述:

        ARP是用来将一个IP地址映射到正确的MAC地址。ARP表项可分为两种:动态ARP和静态ARP。

(1)动态ARP:利用ARP广播报文,动态执行并自动进行IP地址到以太网MAC地址的解析,并不需要管理员的手工处理。

(2)静态ARP:建立IP地址和MAC地址之间固定的映射关系,不能在主机和路由器上动态调整彼此之间的映射关系,需要管理员的手动添加。

(1) 在设备上存在一个ARP高速缓存,它是用来存放IP地址到MAC地址的映射表。利用ARP请求和应答报文刷新映射表,正确的把三层数据包封装成二层数据帧,达到快速封装数据帧、正确转发数据的目的。

(2) 设备中的ARP缓存表是用来临时存放IP地址与MAC地址的对应关系的,当某一设备需要向目的设备发送单播帧时,会首先查看自己的ARP缓存表中是否已经有了目的设备的MAC地址。如果有,则直接使用它;没有,则发起ARP请求来获取它。

(3) ARP缓存表具有动态特性:一个条目(即一个IP地址与MAC地址的对应关系)从其被建立或最近一次使用起,会有180秒的生存时期;一旦过了生存期,该条目便会被删除。当某个条目在每次被使用时,其生存期都会被重新设置为180s

(4)  ARP请求报文和ARP应答报文的类型取值均为0x0806

(5) 携带ARP请求报文的帧是广播帧,携带ARP应答报文的帧是单播帧。

        Proxy ARP(代理ARP):使处于不同物理网段的主机实现正常的通信功能。例如,当一台主机发出ARP请求,用来解析与它处于同一逻辑三层网络却不在同一物理网段上的另外体态主机的硬件地址时,则与其相连的Proxy ARP便可以应答该请求。

实验内容:

路由器R1是一个公司的出口网关,连接到外网。公司内部使用10.1.0.0/16网段,通过交换机连接到网关路由器上。现需要网络管理员通过配置静态ARP防止ARP欺骗攻击,保证通信安全。但是,公司内所有的主机都没有配置网关,且分属于不同的广播域,造成无法正常通信,网络管理员需要通过在路由器上配置ARP代理功能,实现网络内所有的主机的正常通信。

实验拓扑:

 

1。根据实验要求完成计算机的IP地址等基本配置。配置完成后,在命令行使用 arp -a命令查看主机的ARP表。

 

 

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip ad 10.1.1.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip ad 10.1.2.254 24

[R1]dis ip int brief 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 3
The number of interface that is DOWN in Physical is 1
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 1

Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              unassigned           down       down      
GigabitEthernet0/0/1              10.1.1.254/24        up         up        
GigabitEthernet0/0/2              10.1.2.254/24        up         up        
NULL0                             unassigned           up         up(s)   

[R1]dis arp all      //查看ARP表
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE 
                                          VLAN/CEVLAN PVC                      
------------------------------------------------------------------------------
10.1.1.254      00e0-fcce-02f6            I -         GE0/0/1
10.1.2.254      00e0-fcce-02f7            I -         GE0/0/2
------------------------------------------------------------------------------
Total:2         Dynamic:0       Static:0     Interface:2

      查看过后,在PC-1上使用ping命令测试到网关R1和PC-2的连通性。

PC>ping 10.1.1.254

Ping 10.1.1.254: 32 data bytes, Press Ctrl_C to break
From 10.1.1.254: bytes=32 seq=1 ttl=255 time=62 ms
From 10.1.1.254: bytes=32 seq=2 ttl=255 time=32 ms
From 10.1.1.254: bytes=32 seq=3 ttl=255 time=31 ms
From 10.1.1.254: bytes=32 seq=4 ttl=255 time=31 ms
From 10.1.1.254: bytes=32 seq=5 ttl=255 time=47 ms

--- 10.1.1.254 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 31/40/62 ms

PC>ping 10.1.1.2

Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break
From 10.1.1.1: Destination host unreachable
From 10.1.1.2: bytes=32 seq=1 ttl=128 time=32 ms
From 10.1.1.2: bytes=32 seq=2 ttl=128 time=31 ms
From 10.1.1.2: bytes=32 seq=3 ttl=128 time=62 ms
From 10.1.1.2: bytes=32 seq=4 ttl=128 time=32 ms
From 10.1.1.2: bytes=32 seq=5 ttl=128 time=46 ms

--- 10.1.1.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 31/40/62 ms

通过测试,发现直连网络的连通性正常。但是,上述条目都是动态生成的,如果一段时间后没有更新,便会从ARP表中删除。

2。静态ARP的配置

       ARP攻击:在上面的ARP工作行为中,很容易被攻击者利用。如果攻击者发送伪造的ARP报文,而且报文中所通告的IP地址和MAC地址的映射是错误的,那么主机或者网关会把错误的映射更新到ARP表中。当主机要发送数据到指定的目标IP地址时,就会从ARP表中得到错误的MAC地址信息,并将之封装数据帧,导致数据帧无法正确的发送。

     这种现象的防御方法是:在ARP表中手动添加ARP映射。优点:简单易操作;缺点:工作量大。

         ARP欺骗攻击的解决方法是:配置静态ARP表项

假设:上面的实验中,R1通告了含有错误映射的ARP通告,导致网关路由器上使用不正确的动态ARP映射条目,造成其他主机无      法正常的与网关通信。

模拟实验:在网关R1上,使用arp static 10.1.1.1 5489-98CF-2803命令在路由器上添加一条关于PC-1的错误的ARP映射。

[R1]arp static 10.1.1.1 5489-98CF-2803

[R1]dis arp all
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE 
                                          VLAN/CEVLAN PVC                      
------------------------------------------------------------------------------
10.1.1.254      00e0-fcce-02f6            I -         GE0/0/1
10.1.2.254      00e0-fcce-02f7            I -         GE0/0/2
10.1.1.1        5489-98cf-2803            S--
------------------------------------------------------------------------------
Total:3         Dynamic:0       Static:1     Interface:2    
[R1]ping 10.1.1.1
  PING 10.1.1.1: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out

  --- 10.1.1.1 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss


PC>ping 10.1.1.254

Ping 10.1.1.254: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 10.1.1.254 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

配置完成后,会发现PC-1与网关之间无法正常通信(在路由器R1上ARP映射是错误的,无法正确发送数据给PC-1)。

可以在R1的GE0/0/1接口上实行抓包,观察其现象。

针对这种现象,需要手工配置正确的ARP映射,使用arp static命令。

[R1]und arp static 10.1.1.1 5489-98CF-2803
[R1]arp static 10.1.1.1 5489-984A-10E0
	
[R1]arp static 10.1.1.2 5489-98A5-478C
	
[R1]arp static 10.1.1.3 5489-9869-337D

[R1]dis arp all 
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE 
                                          VLAN/CEVLAN PVC                      
------------------------------------------------------------------------------
10.1.1.254      00e0-fcce-02f6            I -         GE0/0/1
10.1.2.254      00e0-fcce-02f7            I -         GE0/0/2
10.1.1.1        5489-984a-10e0            S--
10.1.1.2        5489-98a5-478c            S--
10.1.1.3        5489-9869-337d            S--
------------------------------------------------------------------------------
Total:5         Dynamic:0       Static:3     Interface:2    


PC>ping 10.1.1.254

Ping 10.1.1.254: 32 data bytes, Press Ctrl_C to break
From 10.1.1.254: bytes=32 seq=1 ttl=255 time=63 ms
From 10.1.1.254: bytes=32 seq=2 ttl=255 time=31 ms
From 10.1.1.254: bytes=32 seq=3 ttl=255 time=63 ms
From 10.1.1.254: bytes=32 seq=4 ttl=255 time=31 ms
From 10.1.1.254: bytes=32 seq=5 ttl=255 time=47 ms

--- 10.1.1.254 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 31/47/63 ms

通过配置,可以观察到配置后的连通性恢复了正常。

3。Proxy ARP 的配置

查看R1的路由表:

[R1]dis ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 10       Routes : 10       

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

       10.1.1.0/24  Direct  0    0           D   10.1.1.254      GigabitEthernet
0/0/1
     10.1.1.254/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
0/0/1
     10.1.1.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
0/0/1
       10.1.2.0/24  Direct  0    0           D   10.1.2.254      GigabitEthernet
0/0/2
     10.1.2.254/32  Direct  0    0           D   127.0.0.1       GigabitEthernet

0/0/2

.......

在默认的情况下,路由器上的ARP代理功能是关闭的。

在这种情况下,PC-2与PC-3之间是无法互相通信的。ping 10.1.2.3 。

PC>ping 10.1.2.3

Ping 10.1.2.3: 32 data bytes, Press Ctrl_C to break
From 10.1.1.1: Destination host unreachable

PC-2与PC-3属于不同的广播域内,而PC-2发送的ARP请求是不能跨越中间的路由器的,则PC-3收不到PC-2的ARP请求,同时,PC-2页无法知道PC-3的MAC地址导致数据封装失败。

开启ARP代理功能:配置 arp-proxy enable 命令在路由器的接口上开启ARP代理功能。

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]arp-proxy enable 

[R1-GigabitEthernet0/0/1]int g0/0/2	
[R1-GigabitEthernet0/0/2]arp-proxy enable

最后测试PC-3与PC-1的连通性,发现连通正常。

注意:主机间的IP通常不会对自身的ARP缓存表项进行刷新,只有当主机间交互ARP协议消息时才会对响应的ARP缓存表项进行刷新。

 

 

 

代理arpproxy arp)原理 及配置
十年通信老兵的技术修炼之路——从3G到5G,从地面基站到卫星通信。
12-25 580
使用以下命令验证是否生效。
HUAWEI_HCIA_实验指南_Lib2.2_理解ARPProxy ARP
IT_zhangsan
10-11 1136
ARP(Address Resolution Protocol)是用来将IP地址解析为MAC地址的协议。ARP表项可以分为动态和静态两种类型。动态ARP是利用ARP广播报文,动态执行并自动进行IP地址到以太网MAC地址的解析,无需网络管理员手工处理。静态ARP是建立IP地址和MAC地址之间固定的映射关系,在主机和路由器上不能动态调整此映射关系,需要网络管理员手工添加。
华为配置路由式Proxy ARP示例
专研计算机网络,数据通信,网络安全,系统集成
04-16 2125
企业内部进行子网划分时,可能会出现两个子网网络属于同一网段,但是却不属于同一物理网络的情况,两个子网网络间被交换机分隔。这时可以通过修改网络内主机的路由信息,使发往其它子网的数据先发送到连接不同子网的网关设备上,再由网关设备转发此数据报文。但是这种解决方案需要配置子网中所有主机的路由,并不便于管理和维护。在网关上部署路由式Proxy ARP功能,可以有效解决子网划分带来的管理和维护方面的问题。
ARPProxy ARP无敌详解
11-05
ARPProxy ARP无敌详解,ARPProxy ARP无敌详解
详解路由器的ARP代理
最新发布
风格的博客
02-25 666
当两个主机位于同一物理网络但不同子网时,默认无法通过 ARP 广播直接通信(因为 ARP 广播无法跨子网)。启用 ARP 代理后,路由器可以代为响应 ARP 请求,帮助主机完成跨子网通信。的主要目的是解决不同子网间的主机通信问题,尤其是在同一物理网络但不同逻辑子网的情况下。通过合理配置 ARP 代理,可以在不修改主机网络配置的情况下实现跨子网通信,但需注意网络设计和安全风险。若主机配置了正确的网关,优先使用路由转发(无需 ARP 代理)。:路由器直接响应 ARP 请求,让主机误认为目标主机在同一子网。
什么是代理ARP(proxy ARP)?
牛人网络
08-22 3703
Proxy ARP yUmi#sh start!Written by yUmis(牛奶咖喱) a.k.a. 红头发Description 欢迎转po,请保留作者信息Homepage http://www.show-tym.comJun.27th.2004!什么是proxy ARP?proxy ARP就是通过使用一个主机(通常为router),来作为指定的设备对另一设备作出ARP请求的应答proxy
理解ARPProxy(代理)ARP
qq_63540264的博客
08-30 6846
ARP(address resolution protocol)是用来将IP地址解析为MAC地址的协议。
华为实验1---理解ARPProxy ARP
yychentracy的博客
09-27 2203
原理概述 ARP是将一个IP地址映射到正确的MAC地址,ARP分为动态和静态两种,动态是利用ARP广播报文,动态执行并自动进行IP地址到以太网MAC地址的解析,无需网络管理员手工处理,静态ARP是建立IP地址和MAC地址之间的映射关系,在主机上不能动态调整此映射关系,需要网络管理员手动添加。 proxy ARP 代理ARP,ARP请求从一个主机发出,用于解析处于同一逻辑却不在同一物理网段上的另一台主机时,连接他的巨有代理ARP功能的设备可以应答该要求,使得处于不同物理网段的主机可以正常地进行通信 实验目的
ARP Proxy
weixin_41831214的博客
03-16 4776
ARP Proxy原理:当主机没有配置网关,发一个请求目的MAC地址,ARP Proxy会使用自己的MAC地址作为该ARP请求的的回应。分类路由式ARP Proxy:实现同一网段(请求的是目的MAC地址)不同物理位置(中间有三层设备)的互通。interface vlanif 2ARP-proxy enableVLAN内ARP Proxy:实现相同vlan内但端口启用隔离端口之间互通。int vla...
理解ARPProxy ARP
CL66848的博客
03-22 1274
注意的事项和补充说明 1.本文使用的软件是eNSP 2.部分命令使用的是简写(和完整命令一样的作用),按键盘上的"Tab"建可自动补全命令 3.[R1-GigabitEthernet0/0/1]display this //查看接口R1的信息 4.[R1]display arp all //路由器查看ARP表 5.PC>arp -a //PC端查看ARP表 4.退到下一层用命令quit,简写q 原理: ARP (Address Resolution Protocol)是用来将IP地址解
arp proxy 实验总结
qq_34900957的博客
09-18 712
arp proxy实验拓扑如下: pc1想与pc3通信,两个pc都没有配置网关,但是二者ip地址在同一个网段。 1.这是pc1访问pc3,首先pc1会判断目标地址是否与本身为同一个网段,是同一个网段,发出arp广播, 由于三层路由器隔离广播域,所以pc3不能收到此广播包,与路由器连接接口没有开启arp proxy且目的地址不是路由器与pc1连接端口,因此不会回应此广播。 2.当路由器ge0/0/0口开启arp proxy时,路由器收到pc1的广播帧后,会查看自己的路由表,发现存在10.2.2.3/24的路
ARP-Proxy 代理
yiluyangguang1234的专栏
05-14 8030
发送的ARP请求若不是发送本接口的,开启代理功能后则不会丢弃该ARP,而是会把自身的接口MAC添加到该ARP对应的应答ARP的source MAC;若没开启代理ARP,则收到不是本接口的ARP请求,则会丢弃该请求ARP,不会发送应答ARP。...
代理ARPProxy Arp
weixin_58574637的博客
04-11 3636
场景2:R1的fast0/0与R2的fast0/0互联,R1做静态路由下一跳写的接口而非R2的接口IP时,只要R2的fast0/0接口开启了ARP代理,那访问其它网段的数据仍可以通。代理ARPProxy-arp)的原理就是当出现跨网段的ARP请求时,路由器将自己的MAC返回给发送ARP广播请求发送者,实现MAC地址代理(善意的欺骗),最终使得主机能够通信。条件1:ARP请求的源IP地址与路由器的IP地址处在同一个子网中。条件2:路由器有ARP请求的IP地址的路由。
ARP代理
Rain的专栏
07-21 1566
ARP代理(Proxy ARP) 作者:易隐者 发布于:2012-9-16 9:33 Sunday 分类:网络分析       ARP代理通俗地说,就是由中间设备代替其他主机响应arp请求。下图展现了ARP代理工作的主要过程: ARP代理工作过程示意图 ARP代理工作的过程说明 1,192.168.0.16/16主机向外发送目的主机为192.168.1.3/24的ARP请求报
2.2理解arpproxy arp
weixin_45821358的博客
03-15 1203
理解arpproxy arp原理概述一、实验目的二、实验拓扑 编址 及项目背景二、实验内容观察 arp表项 动态1.配置ip地址做ping通测试配置静态arp配置proxy arp总结与思考 原理概述 arp是将一个ip地址正确映射 到正确的mac 地址上,分为动态和静态。 静态arp需要管理员手动添加 建立ip 到mac的一个固定映射 的关系。 代理arp是从一台pc发出用于解析于主机处于同一逻辑三层网络但不在同一物理网段的别一台主机硬件地址,使得不同物理主机可以正常通信。 一、实验目的 理解
Proxy ARP解析过程
杨奇的博客
01-20 5420
文章目录Proxy ARP产生原因:路由式Proxy ARPARP任意代理:VLAN内Proxy ARP:VLAN间Proxy ARPProxy ARP产生原因: ARP只适用于处于同一物理网络的相同网段主机之间的通信。网络中的交换机收到主机发送的ARP请求报文后,会检查报文的目的IP地址是否是本机的IP,以确定该报文请求的是不是本机的MAC地址。 如果是,则回复ARP响应报文;如果不是;则丢弃该ARP请求报文。 对于不在同一物理网络但属于相同网段的主机,或者在同一物理网络属于相同网段但不能二层互通的
windows arp proxy
weixin_34364135的博客
07-31 258
windows系统中设置网关的效果:1.不设网关...............................不向本网段以外的地址发包2.网关设为自己.........................proxy arp, 对任何地址发ARP请求,路由器响应3.网关设为路由器地址................普通模式,PC ARP解释路由器地址,然后跨网段数据包交路由器转发4...
代理ARP
沉默的鹏先生
04-20 2727
 代理ARP1.代理ARP原理网络中有一种技术称为代理ARP,可用于产生一种子网划分的效果。代理ARPproxy ARP)是代表了一组主机的ARP。当运行代理ARP的防火墙收到ARP请求,希望找出这些主机中的某一台主机的物理地址的时候,防火墙会响应一个自己的物理地址。当防火墙收到真正的IP报文时它会把这些报文发送给对应的主机。例:图6 在图6中,141.23.56.0网段的主机只能响应同网段的A...
ensp - ARPProxy ARP(第七天)
忘忧的博客
08-08 2611
ARP 概念: ARP是将IP地址解析为MAC地址的协议,可以分为两种(动态和静态两种类型) 1、动态ARP是利用ARP广播报文,动态执行并自动表示IP地址到以太网MAC地址得解析,不用网络管理员手动处理 2、静态ARP是建立IP地址和MAC地址之间固定的映射关系,在主机和路由器不能动态调整此映射关系时,需要管理员手动添加 设备上有一个ARP告诉缓存(ARP cache),用来存放IP地址MAC地址的映射表,利用ARP请求和应答报文来缓存映射表,可以正确把三层数据包封装成二层数据帧,达到快速封装数据帧、正.
深入解析ARPProxy ARP与RARP协议:理解网络内在运行机制
本文将从以下几个方面详细介绍ARPProxy ARP以及RARP的工作原理和操作流程。 1. ARP基础 - ARP概述:在TCP/IP协议栈中,逻辑地址,即IP地址,用于区分网络中的设备。而物理地址,如MAC地址,是设备在局域网内的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小柒憨憨吖~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值