定义动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。
动态ARP适用于拓扑结构复杂、通信实时性要求高的网络。
ARP地址解析过程动态ARP通过广播ARP请求和单播ARP应答这两个过程完成地址解析。
图2-1 ARP地址解析过程
当需要通信的两台主机处于同一网段时,如图2-1中的Host_1和Host_3,Host_1要向Host_3发送数据。
- 首先,Host_1会查找自己本地缓存的ARP表,确定是否包含Host_3对应的ARP表项。如果Host_1在ARP表中找到了Host_3对应的MAC地址,则Host_1直接利用ARP表中的MAC地址,对数据报文进行帧封装,并将数据报文发送给Host_3。如果Host_1在ARP表中找不到Host_3对应的MAC地址,则先缓存该数据报文,并以广播方式发送一个ARP请求报文。如图2-1中所示,OP字段为1表示该报文为ARP请求报文,ARP请求报文中的源MAC地址和源IP地址为Host_1的MAC地址和IP地址,目的MAC地址为全0的MAC地址,目的IP地址为Host_3的IP地址。有关ARP报文格式的详细介绍请参见ARP报文格式。
- Router_1收到ARP请求报文后,将该ARP请求报文在同一广播域内转发。
- 同一广播域内的主机Host_2和Host_3都能接收到该ARP请求报文,但只有被请求的主机(即Host_3)会对该ARP请求报文进行处理。Host_3比较自己的IP地址和ARP请求报文中的目的IP地址,当两者相同时进行如下处理:将ARP请求报文中的源IP地址和源MAC地址(即Host_1的IP地址和MAC地址)存入自己的ARP表中。之后以单播方式发送ARP应答报文给Host_1,ARP应答报文内容如图2-1中所示,OP字段为2表示该报文为ARP应答报文,源MAC地址和源IP地址为Host_3的MAC地址和IP地址,目的MAC地址和目的IP地址为Host_1的MAC地址和IP地址。
- Router_1收到ARP应答报文后,将该ARP应答报文转发给Host_1。Host_1收到ARP应答报文后,将Host_3的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将数据报文进行帧封装,并将数据报文发送给Host_3。
当需要通信的两台主机处于不同网段时,如图2-1中的Host_1和Host_4,Host_1上已经配置缺省网关,Host_1首先会发送ARP请求报文,请求网关Router的IP地址对应的MAC地址。Host_1收到ARP应答报文后,将数据报文封装并发给网关,再由网关将数据报文发送给目的主机Host_4。Host_1学习网关IP地址对应的ARP表项的过程,以及网关设备学习Host_4的IP地址对应的ARP表项的过程与上述同网段主机Host_1和Host_3之间进行ARP地址解析的过程类似,不再赘述。
ARP老化机制如图2-1中所示,如果每次Host_1和Host_3通信前都要发送一个广播的ARP请求报文,会极大的增加网络负担。而且同广播域的所有设备都需要接收和处理这个广播的ARP请求报文,也极大的影响了网络中设备的运行效率。为了解决以上问题,每台主机或设备上都维护着一个高速缓存,这是ARP高效运行的一个关键。在这个高速缓存中,存放主机或设备最近学习到的IP地址到MAC地址的映射关系,即动态ARP表项。
主机或设备每次发送报文时,会先在本地高速缓存中查找目的IP地址所对应的MAC地址。如果高速缓存中有对应的MAC地址,主机或设备不会再发送ARP请求报文,而是直接将报文发至这个MAC地址;如果高速缓存中没有对应的MAC地址,主机或设备才会广播发送ARP请求报文,进行ARP地址解析。
一方面由于高速缓存的容量限制,另一方面为了保证高速缓存中ARP表项的准确性,设备会对动态ARP表项进行老化和更新。
动态ARP表项的老化参数有:老化超时时间、老化探测次数和老化探测模式。设备上动态ARP表项到达老化超时时间后,设备会发送老化探测报文(即ARP请求报文),如果能收到ARP应答报文,则更新该动态ARP表项,本次老化探测结束;如果超过设置的老化探测次数后仍没有收到ARP应答报文,则删除该动态ARP表项,本次老化探测结束。
设备发送的老化探测报文可以是单播报文,也可以是广播报文。
当接口Down时设备会立即删除相应的动态ARP表项。
ARP报文格式ARP请求和应答的报文格式如图2-2所示。
图2-2 ARP请求和应答报文格式
报文的长度是42字节。前14字节的内容表示以太网首部,后28字节的内容表示ARP请求或应答报文的内容。报文中相关字段的解释如表2-1所示。
表2-1 ARP报文各字段的含义
以太网目的MAC
48比特
以太网目的MAC地址。
发送ARP请求报文时,该字段为广播的MAC地址0xffff-ffff-ffff。
以太网源MAC
48比特
以太网源MAC地址。
帧类型
16比特
数据的类型。
对于ARP请求或应答来说,该字段的值为0x0806。
硬件类型
16比特
硬件地址的类型。
对于以太网,该字段的值为1。
协议类型
16比特
发送方要映射的协议地址类型。
对于IP地址,该字段的值为0x0800。
硬件地址长度
8比特
硬件地址的长度。
对于ARP请求或应答来说,该字段值为6。
协议地址长度
8比特
协议地址的长度。
对于ARP请求或应答来说,该字段值为4。
OP
16比特
操作类型。OP的值与操作类型的关系如下:
源MAC
48比特
源MAC地址。
源IP
32比特
源IP地址。
目的MAC
48比特
目的MAC地址。
发送ARP请求报文时,该字段为全0的MAC地址0x0000-0000-0000。
目的IP
32比特
目的IP地址。
静态ARP定义静态ARP表项是由网络管理员手工建立的IP地址和MAC地址之间固定的映射关系。静态ARP表项不会被老化,不会被动态ARP表项覆盖。
分类静态ARP表项分为短静态ARP表项和长静态ARP表项。短静态ARP表项:手工建立IP地址和MAC地址之间固定的映射关系,未同时指定VLAN和出接口。
如果出接口是处于二层模式的以太网接口,短静态ARP表项不能直接用于报文转发。当需要发送报文时,设备会先发送ARP请求报文,如果收到的ARP应答报文中的源IP地址和源MAC地址与所配置的IP地址和MAC地址相同,则将收到ARP应答报文的VLAN和接口加入该静态ARP表项中,后续设备可直接用该静态ARP表项转发报文。
长静态ARP表项:手工建立IP地址和MAC地址之间固定的映射关系,并同时指定该ARP表项所在VLAN和出接口。
长静态ARP表项可以直接用于报文转发。建议用户采用长静态ARP表项。
应用场景正常情况下网络中设备可以通过ARP协议进行ARP表项的动态学习,生成的动态ARP表项可以被老化,可以被更新。但是当网络中存在ARP攻击时,设备中动态ARP表项可能会被更新成错误的ARP表项,或者被老化,造成合法用户通信异常。静态ARP表项不会被老化,也不会被动态ARP表项覆盖,可以保证网络通信的安全性。静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址,此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系,从而保护了本端设备和对端设备间的正常通信。一般在网关设备上配置静态ARP表项。
对于以下场景,用户可以配置静态ARP表项。- 对于网络中的重要设备,如服务器等,可以在路由器上配置静态ARP表项。这样可以避免路由器上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新,从而保证用户与重要设备之间正常通信。
- 当网络中用户设备的MAC地址为组播MAC地址时,可以在路由器上配置静态ARP表项。缺省情况下,设备收到源MAC地址为组播MAC地址的ARP报文时不会进行ARP学习。
- 当希望禁止某个IP地址访问设备时,可以在路由器上配置静态ARP表项,将该IP地址与一个不存在的MAC地址进行绑定。
Proxy ARP如果ARP请求是从一个网络的主机发往同一网段但不在同一物理网络上的另一台主机,那么连接这两个网络的设备就可以回答该ARP请求,这个过程称作ARP代理(Proxy ARP)。
Proxy ARP分为路由式Proxy ARP、VLAN内Proxy ARP和VLAN间Proxy ARP,如表2-2所示。
表2-2 Proxy ARP方式
路由式Proxy ARP
需要互通的主机(主机上没有配置缺省网关)处于相同的网段但不在同一物理网络(即不在同一广播域)的场景。
VLAN内Proxy ARP
需要互通的主机处于相同网段,并且属于相同VLAN,但是VLAN内配置了端口隔离的场景。
VLAN间Proxy ARP
需要互通的主机处于相同网段,但属于不同VLAN的场景。
Proxy ARP有以下特点:- Proxy ARP部署在网关上,网络中的主机不必做任何改动。
- Proxy ARP可以隐藏物理网络细节,使两个物理网络可以使用同一个网络号。
- Proxy ARP只影响主机的ARP表,对网关的ARP表和路由表没有影响。
路由式Proxy ARP路由式Proxy ARP就是使那些在同一网段却不在同一物理网络上的网络设备能够相互通信的一种功能。
在实际应用中,如果连接设备的主机上没有配置缺省网关地址(即不知道如何到达本网络的中介系统),此时将无法进行数据转发。
如图2-3所示,Host_1的IP地址为172.16.1.10/16,Host_2的IP地址为172.16.2.20/16,Host_1与Host_2处于同一网段。Router通过VLAN10和VLAN20连接两个网络,VLANIF10和VLANIF20的IP地址不在同一个网段。
图2-3 路由式Proxy ARP典型组网应用
当Host_1需要与Host_2通信时,由于目的IP地址与本机的IP地址为同一网段,因此Host_1以广播形式发送ARP请求报文,请求Host_2的MAC地址。但是,由于两台主机处于不同的物理网络(不同广播域)中,Host_2无法收到Host_1的ARP请求报文,因此也就无法应答。
通过在Router上启用路由式Proxy ARP功能,可以解决此问题。启用路由式Proxy ARP后,Router收到ARP请求报文后,Router会查找路由表。由于Host_2与Router直连,因此Router上存在到Host_2的路由表项。Router使用自己的MAC地址给Host_1发送ARP应答报文。Host_1将以Router的MAC地址进行数据转发。此时,Router相当于Host_2的代理。如图2-3所示,Host_1上的ARP表项中到目的地址Host_2的IP地址对应的MAC地址为Router的VLANIF10接口的MAC地址。
VLAN内Proxy ARP如果两个用户属于相同的VLAN,但VLAN内配置了端口隔离。此时用户间需要三层互通,可以在关联了VLAN的接口上启动VLAN内Proxy ARP功能。
如图2-4所示,Host_1和Host_2是Router设备下的两个用户。连接Host_1和Host_2的两个接口在Router属于同一个VLAN10。
图2-4 VLAN内Proxy ARP典型组网应用
由于在Router上配置了VLAN内不同接口彼此隔离,因此Host_1和Host_2不能直接在二层互通。
若Router的接口使能了VLAN内Proxy ARP功能,可以使Host_1和Host_2实现三层互通。Router的接口在接收到目的地址不是自己的ARP请求报文后,Router并不立即丢弃该报文,而是查找该接口的ARP表项。如果存在Host_2的ARP表项,则将自己的MAC地址发送给Host_1,并将Host_1发送给Host_2的报文代为转发。实际上此时Router相当于Host_2的代理。
VLAN间Proxy ARP如果两台主机处于相同网段但属于不同的VLAN,用户间要进行三层互通,可以在关联了这些VLAN的接口(例如VLANIF接口或者子接口)上使能VLAN间Proxy ARP功能。
如图2-5所示,Host_1和Host_2是Router设备下的两个用户,Host_1和Host_2处于相同网段,但Host_1属于VLAN10,Host_2属于VLAN20。
图2-5 VLAN间Proxy ARP典型组网应用
由于Host_1和Host_2属于不同的Sub-VLAN,Host_1和Host_2不能直接实现二层互通。
如果Router上使能了VLAN间Proxy ARP功能,可以使Host_1和Host_2实现三层互通。Router的接口在接收到目的地址不是自己的ARP请求报文后,并不立即丢弃该报文,而是查找ARP表项(包括动态学习的ARP表项和静态配置的ARP表项)。如果存在Host_2的ARP表项,则将自己的MAC地址发送给Host_1,并将Host_1发送给Host_2的报文代为转发。实际上此时Router相当于Host_2的代理。
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 64255
发表于 2021-11-24 10:29:23
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2021-11-24 10:37:50
