ARP代理学习笔记

xwy3260 · 发表于 2007-9-17 15:47:43

原创
这段时间，论坛上谈论代理ＡＲＰ的朋友较多，今天刚刚学习了代理ＡＲＰ的原理、工作过程和应用等，特来与大家分享。
学习笔记，请大家多发表自己的看法哈！

关键字：ARP代理　网络分析　科来　协议

[ 本帖最后由 xwy3260 于 2007-12-20 09:09 编辑 ]

xwy3260 · 发表于 2007-9-17 15:55:29

什么是代理ARP?
代理ARP一般被像路由器这样的设备使用，用来代替处于另一个网段的主机回答本网段主机的ARP请求。（参考RFC925和RFC1027）
代理ARP的工作过程

如上图的网络环境中，主机A（172.16.1.2）要与主机B（172.16.2.2）通信。配置了代理ARP的路由器将主机A和主机Ｂ分隔开。
主机Ａ通过把目的主机的IP地址与自己的掩码作比较，发现目的主机与自己在同一个网段上，于是主机Ａ决定给此网段发送一个本地的ARP广播以便将主机Ｂ的网络层地址（即IP地址）解析为硬件地址（MAC地址）。大致内容如图。

在科来网络分析系统的数据包解码里则可看到：

但由于ARP只能在同一个网段广播，从上图主机A和主机B的掩码地址我们知道，主机Ｂ并不在主机Ａ的网段之内，因此主机Ｂ也不会收到此广播信息，通常情况下，这次ARP请求就会失败。然而配置了代理ARP的路由器则不会出现这个情况。路由器的Eth0口接收到该广播。它知道主机B位于另一个子网B，于是路由器用自己的MAC地址应答给主机A，如图。（注意：代理ARP只响应那些在自己路由表里能找到的网段）。

在科来网络分析系统的数据包解码里则可看到：
１１.gif

注意图中的源IP地址为主机B的IP地址，而源MAC地址则是路由器的Eth0口的MAC地址。主机A收到这个ARP应答后，开始更新自己的ARP表，如图。

这样，一个ARP的代理过程就完成，主机Ａ和主机也可以透明的通信了。
常见代理ARP的配置
Cisco的路由器默认都是开启了代理ARP功能。我们可以通过命令来关闭或开启该功能。
Router# config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int e0
Router(config-if)#no ip proxy-arp（关闭ARP代理）
Router(config-if)# ip proxy-arp（开启ARP代理）
华为路由器则是用arp-proxy enable和arp-proxy disable命令来开启或关闭代理ARP。

代理ARP的优点
       允许远端主机甚至配置错误的主机可以透明的通信；
       在linux下可以用代理ARP建透明防火墙。
代理ARP带来的问题
       增加了某一网段上的ARP流量；
       主机需要更大的ARP table来处理IP地址到MAC地址的映射；
       安全问题,比如ARP欺骗(spoofing)。

[ 本帖最后由 xwy3260 于 2007-12-20 09:05 编辑 ]

luxxsys · 发表于 2007-9-17 19:05:40

哈哈好东西，收下了。
请问一下版主，PDF中的内容和2楼的是一致的吗？

lnan · 发表于 2007-9-17 20:03:21

感谢，说的太明白了～～～

luxxsys · 发表于 2007-9-17 21:06:31

另外请问一下，“在 linux 下可以用代理ARP 建透明防火墙”是什么样的一个概念？

透明防火墙是什么意思呢？如何通过ARP代理建立透明防火墙呢？

xwy3260 · 发表于 2007-9-18 08:51:42

是的，PDF里的内容和２楼是一样的。

xwy3260 · 发表于 2007-9-18 08:57:09

防火墙配置成透明模式（可称为伪网桥），无需更改网络架构，即使是防火墙不能工作了，要做的仅仅是拔出网线，把网线直接插在路由器的内部接口就可以让网络正常工作，然后你就有时间慢慢恢复发生故障的防火墙。
在linux下使用代理ARP建立透明防火墙，我没有试过

，网上这方面的资料较多，有环境的朋友可以试一下。

luoyu0420 · 发表于 2007-9-18 20:49:34

恩，上过这方面的课，下来也学习学习：）

KIMICN · 发表于 2007-9-19 10:37:26

说的面面俱到挺详细
支持

dragonvein · 发表于 2007-9-19 14:01:59

下来也学习学习!

jingshne · 发表于 2007-9-19 21:23:25

写的真不错!分析很周到!

searge · 发表于 2007-9-20 10:12:07

上面所说的允许配置错误的主机...

这个配置错误一般是指什么样的错误啊.?

xwy3260 · 发表于 2007-9-20 16:09:49

原帖由 searge 于 2007-9-20 10:12 发表
上面所说的允许配置错误的主机...

这个配置错误一般是指什么样的错误啊.?

一个最简单的就是子网掩码配置错误！

wuxing · 发表于 2007-9-25 05:39:43

初来咋到，学习了，谢谢了

tcafei · 发表于 2007-10-14 15:40:13

mark
markmark
mark

media008 · 发表于 2007-10-14 21:12:53

看起来不错。。。。学习

数据我来抓 · 发表于 2007-10-18 00:50:01

确实如此，我们经常需要做防火墙的透明模式，目前我知道有两种方式可以做透明模式： 1种就是ARP代理，第2种就是二层路由透明。

xwy3260 · 发表于 2007-10-18 10:03:51

原帖由 数据我来抓 于 2007-10-18 00:50 发表
确实如此，我们经常需要做防火墙的透明模式，目前我知道有两种方式可以做透明模式： 1种就是ARP代理，第2种就是二层路由透明。

如果兄台有这方面的经验，可否共享一下。

god · 发表于 2007-12-19 11:44:43

顶顶!
楼主"主机Ａ通过把目的主机的IP地址与自己的掩码作比较，发现目的主机与自己在同一个网段上" 这么是怎么比较的?一直没明白.请赐教!

xwy3260 · 发表于 2007-12-20 09:17:27

原帖由 god 于 2007-12-19 11:44 发表
顶顶!
楼主"主机Ａ通过把目的主机的IP地址与自己的掩码作比较，发现目的主机与自己在同一个网段上" 这么是怎么比较的?一直没明白.请赐教!

主机Ａ将主机Ｂ的IP地址与自已的掩码作与运算，从而得到网络号，如果此网络号与自身的网络号相同，则在同一网段。

myfriend315 · 发表于 2007-12-31 12:34:12

不错！！
搞网络的，就是研究包通信的细节！！

gwaynez · 发表于 2008-1-30 04:47:04

Very good!

wu123aa · 发表于 2008-2-3 10:48:55

教程不错，正好学到这里了/谢谢分享！支持1

wztgmjudy · 发表于 2008-4-9 11:41:07

恩..学习了..不错啊...

小龙也呵 · 发表于 2008-4-10 10:02:27

我也学习了呢继续研究

qjh2729645 · 发表于 2008-4-13 23:51:16

又学到东西了，谢谢楼主。

xunshi · 发表于 2008-4-14 08:02:11

下载下来看看！！！

aps236 · 发表于 2008-4-15 17:03:27

好东东，收藏了，谢谢LZ

newrobert · 发表于 2008-4-16 23:42:29

谢谢楼主,讲的很清楚,学习了

hhu190 · 发表于 2008-4-20 16:12:11

arp请求的的目标MAC怎么是00:00:00:00:00:00 ，广播的MAC不是FFFF。FFFF。FFFF么？

ARP代理学习笔记

回复 #3 luxxsys 的帖子

回复 #5 luxxsys 的帖子