代理ARP

发表于:2007-07-04来源:作者:点击数: 标签:
什么是proxy ARP? proxy ARP就是通过使用一个主机(通常为router),来作为指定的设备对另一设备作出ARP请求的应答 proxy ARP是如何工作的? 设备 需求 : Cisco 2500系列的rourer Cisco IOS Release 12.2(10b) java script:window.open(this.src);" style="CURSOR
什么是proxy ARP?
proxy ARP就是通过使用一个主机(通常为router),来作为指定的设备对另一设备作出ARP请求的应答

proxy ARP是如何工作的?
设备需求:
Cisco 2500系列的rourer
Cisco IOS Release 12.2(10b)


javascript:window.open(this.src);" style="CURSOR: pointer" onload="return imgzoom(this,550)">screen.width-500)this.style.width=screen.width-500;}" border="0" />此主题相关图片如下:
screen.width-500)this.style.width=screen.width-500;}" border="0" />
假设在如上图的一个环境中,位于子网A的主机A(172.16.10.100)需要发送packet到位于子网B的主机D(172.16.20.200)上去.于是主机A将发送ARP请求给D.当然,为了能够达到主机D,就需要知道主机D的MAC地址.因此,主机A在它位于的那个子网A上广播ARP请求,大致内容如下图:

screen.width-500)this.style.width=screen.width-500;}" border="0" />此主题相关图片如下:
screen.width-500)this.style.width=screen.width-500;}" border="0" />
当然router的e0口也接收到该广播,但是router默认不会转发广播的,所以该ARP请求仍然到达不了主机D.但是router却知道主机D位于另外一个子网B.于是router应答自己的MAC地址给主机A,如下图:

此主题相关图片如下:
screen.width-500)this.style.width=screen.width-500;}" border="0" />
注意如上图,源IP地址为主机D的IP地址,但是源MAC地址是router e0口的MAC地址.这就是发送给主机A的proxy ARP应答(代理人,中间人).这样的proxy ARP应答一般是作为unicast发送给请求者(主机A)
主机A收到这个proxy ARP应答以后,开始更新自己的ARP table,如下图:

此主题相关图片如下:
screen.width-500)this.style.width=screen.width-500;}" border="0" />
于是从现在开始,主机A将不把要前往主机D的packet通过router e0口(00-00-0c-94-36-ab)转发,因为router知道如何到达主机D,它会把packet转发给主机D
另外,位于子网A的主机的ARP cache,如下图:
此主题相关图片如下:
screen.width-500)this.style.width=screen.width-500;}" border="0" />
注意上图,3个IP地址映射到1个MAC地址(router e0口的MAC地址)上,这就说明正在使用proxy ARP


Cisco的router的接口应该配置成能够接收和应答proxy ARP,当然这个默认是启用的,不过可以使用一些命令来关闭这个功能,命令如下:
Router# config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int e 0
Router(config-if)#no ip proxy-arp
Router(config-if)#^Z
Router#
要再次启用的话,在接口配置模式下使用ip proxy-arp命令即可

proxy ARP有哪些优点?
最主要的一个优点就是能够在不影响其他router的路由表的情况下在网络上添加一个新的router,这样使得子网的变化对主机是透明的
proxy ARP应该使用在主机没有配置默认网关或没有任何路由策略的网络上

proxy ARP带来的哪些负面影响?
1.增加了某一网段上ARP流量
2.主机需要更大的ARP table来处理IP地址到MAC地址的映射
3.安全问题,比如ARP欺骗(spoofing)
4.不会为不使用ARP来解析地址的网络工作
5.不能够概括和推广网络拓扑

一些参考资料:RFC 925和RFC 1027
Fin

原文转自:http://www.ltesting.net