ARP协议用于将IP地址转换为MAC地址。
1、 构建拓扑模拟网络环境,路由器R1作为出口网关连接外部网络。员工设备使用12.1.0.0/16网段,通过交换机接入网关路由器。为防止ARP攻击,管理员设置了静态ARP确保通信安全。但由于主机未配置网关,且分属不同广播域,导致通信异常。为此,管理员在路由器上启用ARP Proxy功能,实现网络中所有主机间的正常通信。
2、 配置好PC地址后,查看arp表项(三台PC依次类推)。
3、 使用 arp -a 命令可以查看当前系统的ARP缓存表。
4、 为路由器两个接口配置地址,查看ARP表项变化。
5、 查看当前的连接状态
6、 PC1与PC2可相互访问,二者均可连接网关R1,但无法访问PC3。
7、 PC3可ping通网关R1,但无法同时连通R1与R2。
8、 当主机与网关进行通信时,若ARP表中尚未存有对应IP的MAC地址记录,将启动ARP协议,向本地网段发送ARP广播请求,以查询12.1.1.254的MAC地址。
9、 比如,你要去车站找广州站台。虽然知道叫广州站台,但因第一次来,不知其具体位置,于是挨个查找,最后找到并记住位置。下次再找时就无需重新询问了。
10、 附上一张PC1请求R1MAC地址的抓包图示例。
11、 图中显示,PC1首次向R1发起请求时发送了广播包,R1收到后通过单播告知PC1其MAC地址。
12、 地址请求完成后,双方都会将对方IP与MAC地址的对应关系记录在各自的ARP表中。
13、 为什么PC1无法获取到PC3的MAC地址?
14、 他们在不同城市的车站,PC1在广州站台找半天,也看不见其他城市站台的PC3。
15、 ARP协议易受攻击者利用。若攻击者发送包含错误IP与MAC地址映射的ARP报文,主机或网关会将错误信息更新至ARP表。当主机向特定目标IP发送数据时,会从ARP表中获取错误的MAC地址,进而封装数据帧。这会导致数据帧无法正确传输至目标设备。
16、 此处模拟PC1用户遭受ARP攻击,其MAC地址被错误记录于ARP表中。
17、 在R1上将PC1的MAC地址映射错误,随后对PC1进行ping测试。
18、 地址关联
19、 绑定完成后测试恢复连接。
20、 通过绑定方式,将该IP的MAC地址设为xxxx-xxxx-xxxx,其余一律丢弃。
21、 路由器默认关闭ARP Proxy功能,请手动开启设置。
22、 若R1的ARP代理功能关闭,PC1与PC3将无法实现通信。
23、 启用ARP代理功能
24、 R1的GE0/0/1接口启用了ARP Proxy功能。当PC-1发出ARP广播请求时,R1会根据请求中的目标IP地址10.1.2.3检查自身路由表是否存在对应网络。由于R1的GE0/0/2接口属于10.1.2.0/24网段,符合条件,因此R1将GE0/0/1接口的MAC地址作为响应返回给PC-1。PC-1收到该ARP响应后,使用此MAC地址作为目标硬件地址向R1发送数据包。R1接收到数据包后,再将其转发至PC-3,从而实现通信流程。
25、 启用ARP代理功能
26、 当网络规模过大时,广播对网络的影响也会增加。在不修改网络主机配置的前提下,管理员可通过在网络中透明地添加一台路由器,利用路由器划分多个广播域,从而减轻广播对网络的压力。不过,在当前的IP网络中,这种方式较少使用。其主要缺点是,主机间通信因额外增加路由器而产生更大延迟,并可能出现瓶颈问题,因此通常仅作为临时措施。
