HCIA—代理ARP (路由式代理ARP+vlan内代理ARP+vlan间代理ARP) [理论+实验验证]

衷心感谢三位大佬的博客 ! ! ! !

这篇博客主要是为了记录笔记方便查看而整理， 主要内容整理来源：

(58条消息) 代理ARP实验_在下小黄的博客-CSDN博客_arp代理实验

 (58条消息) 代理ARP_士别三日wyx的博客-CSDN博客_arp代理

 (59条消息) 华为ARP代理的三种方式_格洛米爱学习的博客-CSDN博客_华为arp代理​​​​​​

目录

一、代理ARP简述：

（1）简述①： 

（2）简述② 

二、 代理ARP原理：

三、路由式 ARP代理：

 （1）原理+应用场景： 

 （2）实验验证：

 四、vlan内 代理ARP：

（1）原理+应用场景：

  (2)实验配置:

五、vlan 间的 代理ARP:

 （1）原理+应用场景：

    (2)实验配置:

六、总结:

(1)相同点: 

(2)不同点：

 七、特点:

(1)代理ARP协议的优点：

(2)代理ARP协议的缺点：

---

一、代理ARP简述：

（1）简述①： 

• ①如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机，那么连接它们的具有代理ARP功能的设备就可以回答该请求。
• ③对于ARP代理功能，有些厂商是默认打开的，有些厂商是默认关闭的。

（2）简述② 

• 对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的IP地址对源计算机进行应答。
• 代理ARP就是将一个主机作为对另一个主机ARP进行应答。

———————————————————————————————————————————————————— 

二、 代理ARP原理：

•  图中R1和R3处于不同的广播域中，R1 和R3在相互通信时，R1先发送了一个ARP广播数据包，请求R3的mac地址，但是由于R1是12.1. 1. 0网段，而R3是13. 1. 1.0网段，R1和R3之间是跨网段访问的，也就是说R1的ARP请求会被R2拦截到，然后R2会封装自己的mac地址为目的地址发送一个ARP回应数据报给R1 (善意的欺骗)，然后R2就会代替R1去访问R3。
• 整个过程R1以为自己访问的是R3，实际上真正去访问R3的是R2，R1 却并不知道这个代理过程，这就是所谓的ARP代理，通常用于跨网段访问

————————————————————————————————————————————————————  

三、路由式 ARP代理：

（1）原理+应用场景： 

• 也就是普通的arp代理，当PC1没有网关时去ping不是同一网段的设备（直接封装目的IP的请求报文），到达了最近的路由器时，因为为广播帧，路由器会拆包查看，一般情况下请求的IP地址不是自己的，不会处理，但是开启了的路由的arp代理后，如果发现目的IP地址是自己有相应的路由表，并且出接口不是原来的接口，这时就会按照路由表项路由表的出接口请求ARP地址（如果是直连，直接请求，如果不是直连，请求下一跳），然后会将自己的ARP地址发送个请求端，让对方来找自己就行了，相当于自己就是一个中间人，帮助别人转发

 ————————————————————————————————————————————————————  

 （2）实验验证：

•  注：PC1和PC2并没有配置网关。每个PC1、PC2、AR1都配置了对应的IP
• 如果PC1和PC2配置网关，PC1和PC2的ARP表里有的只是对应的网关的MAC地址，任然ping不通。

AR1没有开启ARP代理功能时：

 AR1开启ARP代理功能之后：

[AR1-GigabitEthernet0/0/0]arp-proxy enable
[AR1-GigabitEthernet0/0/1]arp-proxy enable

 PC1网关的MAC和PC2的MAC一样，事实上是网关替代了PC2回答了PC1的ARP请求。

 ———————————————————————————————————————————————————— 

 四、vlan内 代理ARP：

（1）原理+应用场景：

• Vlan内的arp代理是在隔离端口处使用的，仅仅对二层隔离有效果（三层的端口隔离没有效果），双方设备处于同一个网段，在同一个vlan，如果设置了隔离的端口，就不能正常的互相通信了，但是我们在SW上的对应vlan上开启了arp代理，仍然PC1和PC2可以通信。
• 原理：PC1发送arp报文请求PC2的信息，SW不会将从与SW相连的接口收到的信息通过二层转发从与PC2相连的接口发送出去。
• 如果开启了arp代理，当SW收到了PC1发送给PC2的信息时同样不会进行二层的发送，而是SW检查打上的tag和请求的IP地址从而将报文从允许此tag的接口上发送出去（不包括原来的接口），这样就是通过SW向PC2请求MAC地址。PC2进行arp报文回复，SW收到回复报文后将自己接口的MAC地址通过查找MAC地址表从与PC1相连的接口发送出去，完成了ARP代理，以后PC1其实都是将发送给PC2的报文发送给了SW进行代处理SW再进行转发，避免了两个接口间无法进行正常通信。
• ①端口隔离简述： 两个启用端口隔离的接口无法互相访问，端口隔离也可以应用在隔离二层广播风暴
• 端口隔离功能可以实现同一VLAN内端口之间的隔离。不同隔离组之间是可以互访的，只是隔离组内部是不可以相互访问的

(59条消息) 端口隔离配置命令、端口镜像（抓包配置）详解（附图，建议PC观看）_孤城286的博客-CSDN博客_端口隔离命令

 ————————————————————————————————————————————————————  

(2)实验配置:

---端口隔离
[Huawei-GigabitEthernet0/0/1]port-isolate enable 
[Huawei-GigabitEthernet0/0/2]port-isolate enable 
---ARP代理
interface Vlanif1 //进入双方的都在的vlan中
ip address 10.1.1.254 255.255.255.0 //arp代理是三层计算，需要配置ip地址,虚拟接口代替对方
arp-proxy inter-sub-vlan-proxy enable //开启区域间的arp代理

  ———————————————————————————————————————————————————— 

五、vlan 间的 代理ARP:

 （1）原理+应用场景：

•  Vlan间arp代理是使用在super vlan中的，也就是同一网段，不同vlan间的arp代理
•  因为目的地址在同一网段，PC发送arp请求信息的时候是直接请求对面的MAC地址的，并且会打上自己网段的tag，这时候super vlan会检测sub vlan间的通信（正常情况下只有本vlan的三层接口才会检测），查看arp请求报文的IP地址，正常情况下发现对方的IP地址不是自己就不做任何操作，所以arp请求报文就只能在原来的vlan泛洪，但是目标主机确是在另外一个vlan，所以无法正常请求到。当开启了arp区域间代理的时候，super vlan发现了arp请求报文，并且请求的地址和自己是同一网段的主机IP，它会知道这是他sub vlan的报文，但是到底是哪个sub vlan并不清楚，所以打上其余sub vlan的tag从可以通过对应tag的出接口发送出去，这样当arp请求报文回复以后，带有的tag就是对方所在sub vlan的tag，这样交换机就获取的了对方的MAC地址，现在就只需要将自己的MAC地址封装进入arp回复消息发送给请求端即可，回复的具体物理端口需要查看MAC地址表进行，由于PC请求的时候SW已经在相应的接口上学习到了，现在只需要从这个接口发送出去即可。

 ————————————————————————————————————————————————————   

(2)实验配置:

interface Vlanif1 //进入双方的都在的vlan中
ip address 10.1.1.254 255.255.255.0 //arp代理是三层计算，需要配置ip地址
arp-proxy inter-sub-vlan-proxy enable //开启区域间的arp代理

  ———————————————————————————————————————————————————— 

六、总结:

(1)相同点: 

•  3种arp代理都是都是将自己接口的MAC地址发送回复给对方（对方请求的都不是自己的MAC）做一个善意的欺骗，帮助别人进行通信过程。并且既然要进行arp的代理，就必须解封装到网络层，然后被识别，因为arp请求报文都是广播的报文，肯定是能够被对应的三层接口进行接收的（聚合vlan中因为super vlan和sub vlan进行了相互的关联，所以super vlan的接口也会处理sub vlan发送来的arp报文）。

(2)不同点：

• 应用的环境不同中，路由arp的环境是一个路由器或者三层交换机连接了两个不同的网段，两台互相通信的设备在这两个不同的网段，并且需要请求的设备没有设置网关，这时候请求的设备会直接对方的MAC地址，当开启了ARP代理后接受的接口会帮助处理。
• Vlan内路由适用于端口二层隔离的环境，这个在双方设备在同一个vlan中，只不过开启了二层隔离，当在对应vlan的接口上创建了IP地址后，配置了arp代理，arp请求报文虽然不能直接发送到对方，但是相应的vlanif接口会代为处理，发送arp请求报文发往其他允许其vlan tag通过的物理接口，得到回复后，将自己的MAC地址返回给原请求设备。以后进行的二层通信，都只需要将报文发送给S1，因为是S1vlanif接口的MAC地址，关于解封装到网络层查看，发现目的IP地址不是自己，然后查路由表，转发到相应的接口即可。
• Vlan间arp代理使用在聚合vlan中，也就是在super vlan的接口上进行配置，super vlan关联sub vlan以后会处理sub vlan的信息，例如arp广播报文，虽然是sub vlan接收到的，但是也会转发到super vlan的接口下查看，这个时候如果开启了arp代理，super vlan会向其sub vlan关联的接口发送对应的arp请求消息代理请求。

   ———————————————————————————————————————————————————— 

 七、特点:

(1)代理ARP协议的优点：

• 最主要的一个优点就是能够在不影响其他router（路由器）的路由表的情况下在网络上添加一个新的router,这样使得子网的变化对主机是透明的。
• 代理 ARP应该使用在主机没有配置默认网关或没有任何路由策略的网络上

(2)代理ARP协议的缺点：

• 增加了某一网段上ARP流量
• 主机需要更大的ARP table来处理IP地址到MAC地址的映射
• 安全问题,比如ARP欺骗(spoofing)
• 不会为不使用ARP来解析地址的网络工作
• 不能够概括和 推广网络拓扑

 由于本人暂时还没学到IE,所以整理的比较驳杂,很多原理和图片也是照原作者搬运.大家可以点击连接前往三位大佬博客仔细阅读.