eNSP学习——理解ARP及Proxy ARP

 

目录

名词解释

实验内容

实验目的

实验步骤

实验拓扑

配置过程

基础配置

 配置静态ARP

---

名词解释

        ARP (Address Resolution Protocol)是用来将IP地址解析为MAC地址的协议。ARP表项可以分为动态和静态两种类型。
　　动态ARP是利用ARP广播报文，动态执行并自动进行IP地址到以太网MAC地址的解析，无需网络管理员手工处理。
　　静态ARP是建立IP地址和MAC地址之间固定的映射关系，在主机和路由器上不能动态调整此映射关系，需要网络管理员手工添加。设备上有一个ARP高速缓存（ARP cache)，用来存放IP地址到MAC地址映射表，利用ARP请求和应答报文来缓存映射表址到MAC地址的映射表，利用ARP请求和应答报文来缓存映射表，以便能正确地把三层数据包封装成二层数据帧，达到快速封装数据帧、正确转发数据的目的。另外ARP还有扩展应用功能,比如Proxy ARP功能。

        代理ARP（Proxy-arp）的原理就是当出现跨网段的ARP请求时，路由器将自己的MAC返回给发送ARP广播请求发送者，实现MAC地址代理（善意的欺骗），最终使得主机能够通信。

实验内容

        本实验模拟公司网络场景。路由器R1是公司的出口网关，连接到外网。公司内所有员工使用10.1.0.0/16网段，通过交换机连接到网关路由器上。网络管理员通过配置静态ARP防止ARP欺骗攻击，保证通信安全。又由于公司内所有主机都没有配置网关，且分属于不同广播域，造成无法正常通信，网络管理员需要通过在路由器上配置ARP代理功能，实现网络内所有主机的通信。

实验目的

        1、理解ARP工作原理；
　　2、掌握配置静态ARP的方法；
　　3、掌握Proxy　ARP的工作原理；
　　4、掌握Proxy　ARP的配置；
　　5、理解主机之间的通信过程。

实验步骤

        1、基本配置；
　　2、配置静态ARP；
　　3、配置Proxy　ARP。

实验拓扑

配置过程

基础配置

第一步：基础配置（各个PC对应的IP地址也许配置好）
<Huawei>sys
[Huawei]sysname R1	
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.1.1.254 24
[R1-GigabitEthernet0/0/1]interface g0/0/2
[R1-GigabitEthernet0/0/2]ip address 10.1.2.254 24
[R1-GigabitEthernet0/0/2]/*配置完成后，查看ARP表*/
[R1]display arp all
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE VLAN/CEVLAN PVC                      
------------------------------------------------------------------------------
10.1.1.254      00e0-fc1d-4eec            I -         GE0/0/1
10.1.2.254      00e0-fc1d-4eed            I -         GE0/0/2
------------------------------------------------------------------------------
Total:2         Dynamic:0       Static:0     Interface:2    
[R1]/*PC1和PC3分别ping网关后，再次查看结果如下*/
[R1]display arp all
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE VLAN/CEVLAN PVC                      
------------------------------------------------------------------------------
10.1.1.254      00e0-fc1d-4eec            I -         GE0/0/1
10.1.1.1        5489-9854-1dd9  20        D-0         GE0/0/1
10.1.2.254      00e0-fc1d-4eed            I -         GE0/0/2
10.1.2.3        5489-98dd-6bfa  20        D-0         GE0/0/2
------------------------------------------------------------------------------
Total:4         Dynamic:2       Static:0     Interface:2 

 配置静态ARP

第二步：配置静态ARP　模拟ARP攻击发生时,网络的通信受到了影响。在网关R1上,使用
arp static 10.1.1.1　5489-9854-9dd9命令在路由器上静态添加一条关于PC-1的错误
的ARP映射，假定此映射条目是通过一个ARP攻击报文所获得的(静态的条目优于动态的条
目)，所以错误的映射将出现在ARP表中。应对ARP欺骗攻击，防止其感染路由器的ARP表，可以通过配置静态ARP表项来实现。
如果P地址和一个MAC地址的静态映射已经出现在ARP表中,则通过动态ARP方式学来的映
射则无法进入ARP表/*手动配置三条关于PC1、PC2和PC3的正确ARP映射*/
[R1]arp static 10.1.1.1 5489-9854-1dd9
[R1]arp static 10.1.1.2 5489-9880-7f4c
[R1]arp static 10.1.2.3 5489-98dd-6bfa
[R1]display arp all
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE VLAN/CEVLAN PVC                      
------------------------------------------------------------------------------
10.1.1.254      00e0-fc1d-4eec            I -         GE0/0/1
10.1.2.254      00e0-fc1d-4eed            I -         GE0/0/2
10.1.1.1        5489-9854-1dd9            S--
10.1.1.2        5489-9880-7f4c            S--
10.1.2.3        5489-98dd-6bfa            S--
------------------------------------------------------------------------------
Total:5         Dynamic:0       Static:3     Interface:2    
[R1]
配置完成后记得测试网络的连通性

第三步：配置Proxy　ARP
//默认情况下，路由器的ARP代理功能是关闭的。在第二步之后，PC1和PC2可以互通，但是却ping不通PC3[R1]interface  g0/0/1
//开启ARP代理功能
[R1-GigabitEthernet0/0/1]arp-proxy enable　
//此步骤之后PC1和PC2可以ping通PC3，但反过来却不行[R1-GigabitEthernet0/0/1]interface g0/0/2
[R1-GigabitEthernet0/0/2]arp-proxy enable
[R1-GigabitEthernet0/0/2]
//此时三个PC之间均可互相ping通