交换机实验二

实验2：交换机及APR协议

+++

实验目的：

• 了解交换机以及ARP协议原理
• 掌握交换机以及ARP协议的配置和测试方法
• 掌握静态配置ARP以及测试方法
• 掌握配置ARP代理方法
• 掌握动态、静态ARP及ARP代理应用场景以及解决的相关问题

+++

实验内容

1：完成网络搭建、设置和运行

2：验证网络联通性

3：验证静态ARP和ARP代理

4：抓包工具抓取ARP协议过程包

+++

基本概念

• APR原理概述

  APR协议是将 IP地址解析为MAC地址的协议，分为静态和动态两种。

• 动态ARP

  利用ARP广播报文，动态执行 IP地址到以太网 MAC地址的解析

• 静态ARP

  静态ARP是建立IP地址和MAC地址之间的固定的映射关系

  使用存放在ARP cache中的映射表

• Proxy ARP(代理ARP)

  1：当主机上没有配置默认网关地址，可以发送一个广播ARP请求（请求目的主机的MAC地址）

  2：具备Proxy ARP功能的路由器接收到请求后，确认请求地址可达之后，会使用自身MAC地址作为ARP请求的回应
  +++

实验过程

1：描述网络设计思路

一：基本配置

​ 1）设计拓扑结构如下

​ 其中R1为出口网关，所有主机都没有配置网关，且分属于不同的广播域，不能相互通信

​ 配置实验编址如下图：

​ 2）完成拓扑设计后，使用ping命令检验链路连通性，并设置IP地址和对应掩码

• 根据上表配置PC主机IP地址和对应掩码，掩码长度为16
• 根据上表配置路由器R1接口IP地址，掩码长度为24
• 在PC-1上使用ping命令测试网关R1和PC-2连通性

PC1>ping 10.1.1.254
PC1>ping 10.1.1.2

• 在PC-3上使用ping命令测试到网关R1的连通性

PC3>ping 10.1.2.254

3）PC-1和R1连接后，主机和网关之间有数据通信并且ARP表项中没有目标IP地址和MAC地址对应表项，ARP协议就会触发。

PC-1发送ARP广播请求，请求路由器IP 10.1.1.254对应MAC地址

网关收到广播请求后，回应APR响应，里面含有自身IP地址和MAC的对应关系

从而PC和R1都可以从这对消息中知道对方IP地址和MAC地址对应关系，并写到各自的ARP表中

• PC-1使用arp-a命令查看R1的IP地址和对应关系

PC1>arp-a

• 在R1上使用display arp all命令查看PC-1的IP地址和对应关系

R1>display arp all

==验证1：==正常连接后，在R1和PC-1中有对应IP和MAC对应关系即配置完成

二：配置静态ARP

当攻击者发送伪造的ARP报文（报文中IP地址和MAC地址映射是错误的），则主机或者网关就会将错误映射到ARP表中，导致数据帧无法发送

1）模拟ARP攻击，在网关R1上，使用arp static 10.1.1.1 5489-98CF-2803命令在R1的ARP表中设置一条关于PC-1的错误ARP映射

R1>arp static 10.1.1.1 5489-98CF-2803

2）查看R1的ARP表，会发现设置的错误ARP映射

R1>display arp all

​ ping测试PC-1和网关的连通性，会因为ARP错误的映射而导致无法连接

R1>ping 10.1.1.1
PC1>ping 10.1.1.254

==验证2：==假设网络攻击后，无法正常连接PC-1和R1，连接超时

3）为了应对ARP欺骗攻击，需要网络管理员在R1上手动配置PC-1、PC-2、PC-3正确的ARP映射，使用arp static命令

4）配置完成，测试PC-1和网关之间的连通性

PC1>ping 10.1.1.254

==验证3：==手动配置网关R1的ARP表中关于PC-1的ARP映射，连接成功即表示配置静态ARP成功

三：配置 Proxy ARP

1）PC-2和PC-3之间不能正常通信，由于他们处于不同的两个广播域，不能跨域中间路由器

==验证4：==PC-2和PC-3之间无法通信

2）在R1上0/0/1端口开启ARP代理

R1>interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]arp-proxy enable

工作原理：R1开启代理后，收到PC-2的ARP广播请求后，R1根据ARP请求中目标IP地址10.1.2.3查看自身网络是否有对应目标网络，查询到R1的 GE 0/0/2接口就是这个网络，R1就将 GE 0/0/1接口的MAC地址通过ARP响应返回给PC-2，PC-2接到响应后将该MAC地址作为目标硬件地址发送报文给R1，R1收到后再发给R3

3）测试PC-2到PC-3连通性

PC2>ping 10.1.2.3

==验证5：==配置代理后PC-2能连接PC-3

4）在R1上0/0/2端口开启ARP代理功能

R1>interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]arp-proxy enable

5）测试PC-3到PC-1的连通性

PC3>ping 10.1.1.1

==验证6：==配置代理后PC-3能连接PC-1

+++

2：描述实验设计测试过程

在实验步骤中详细介绍了实验设计的测试过程，测试结果如下：

验证1：

• R1与PC1的正常连接
  

• PC1与PC2的正常连接
  

• R1与PC3的正常连接
  

• R1的MAC地址表
  

• PC1中IP地址和MAC地址对应关系：
  
  验证2：
  

• 路由器连接PC-1超时：
  

验证3：

• 手动配置R1中ARP表中关于PC-1、2、3的映射：
  

• 在PC-1上重新连接路由器，连接成功
  

验证4：

• PC-2和PC-3之间无法通信
  

验证5：

• 配置ARP代理，在路由器0/0/1接口
  

• 在PC-2上连接PC-3，连接成功
  

验证6：

• 配置ARP代理，在路由器0/0/1接口
  

• 在PC-3上连接PC-2，连接成功
  

+++

3：分析mac地址学习工作原理

• 学习和转发机制：

PC发送数据帧，SW记录（或更新）端口和数据帧的源mac地址（即PC的mac地址）；（src_mac | port）

根据数据帧的目的mac，查询mac地址表，有则转发，无则洪泛，将数据帧发送至目的地；（dst_mac | port）

• MAC地址老化：

老化时间默认为300秒；

从一个地址记录加入地址表以后开始计时，如果在老化时间内各端口未收到源地址为该MAC地址的帧，则将这些地址从动态转发地址表（由源MAC地址、目的MAC地址和它们相对应的交换机的端口号）中被删除；

静态MAC地址表不受地址老化时间影响；

+++

4：53页思考题

在ARP代理开启的情况下，如果在PC-2上，ping 10.1.2.4 (10.1.2.4主机不存在)，icmp echo报文是在PC-2还是R1路由器丢掉的?为什么?

答：是在R1丢弃的

1：R1的接口GE 0/0/1开启了ARP 代理后,收到PC-2的ARP广播请求报文后

2：R1根据ARP请求中的目标IP地址10.1.2.3查看自身的路由表中是否有对应的目标网络（R1的GE0/0/2接口就是10.1.2.0/24网络）R1把自身的GE0/0/1接口的MAC地址通过ARP响应返回给PC-2,

3：PC-2接收到此ARP响应后使用该MAC作为目标硬件地址发送报文给R1。

4：R1收到后，检测自己的ARP缓存表，发现没有10.1.2.4的映射条目。

5：R1通过接口G0/0/2发送针对IP地址10.1.2.4的ARP广播请求。

6：10.1.2.4主机不存在,所以R1不会收到ARP的应答报文，报文在R1被丢弃

+++

5：分析ARP协议过程包，思考ARP协议工作原理

APR协议包：

• 硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1;

• 硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1;
  协议类型字段指明了发送方提供的高层协议类型，IP为0800 （16进制）;

• 硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用;

• 操作字段用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4

• 发送方的硬件地址（0-3字节）︰源主机硬件地址的前3个字节;

• 发送方的硬件地址(4-5字节）:源主机硬件地址的后3个字节;

• 发送方IP （0-1字节）:源主机硬件地址的前2个字节;

• 发送方IP （2-3字节):源主机硬件地址的后2个字节;

• 目的硬件地址（0-1字节):目的主机硬件地址的前2个字节;

• 目的硬件地址(2-5字节）:目的主机硬件地址的后4个字节;

• 目的IP （0-3字节）:目的主机的IP地址。

ARP工作原理：

1：首先，每台主机都会在自己的ARP缓冲区(ARP Cache)中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。
2：当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址;如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
3：网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址;
4：源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。

+++

6：比较图1-26、图2-1、图2-2异同

图1-26：交换机S1、S2，路由器R1和PC-1、PC-2组成，与图2-2相类似

图2-1：S1与S2为接入层交换机，S3为汇聚层交换机，并没有网关，只是两个交换机之间进行发送数据和接收数据，可以设置半双工（同一时刻只能发送和接收数据）和全双工模式（同一时刻即可以接收也可以发送数据）

图2-2：S1、S2为路由器，R1为接入网关，PC-1、PC-2和PC-3没有配置网关，分属于不同广播域，PC-1和PC-3、PC-2和PC-3不能正常通信，需要设置ARP代理进行通信