Inleiding
Dit document beschrijft hoe Proxy ARP machines op een subnet helpt om externe subnetten te bereiken zonder dat u routing of een standaardgateway hoeft te configureren.
Voorwaarden
Vereisten
Dit document vereist een goed begrip van het Proxy Address Resolution Protocol (ARP) en de Ethernet-omgeving.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Achtergrondinformatie
In dit document wordt het concept van het Proxy Address Resolution Protocol (ARP) uitgelegd. Proxy ARP is de techniek waarbij een host, meestal een router, ARP-verzoeken beantwoordt die bedoeld zijn voor een andere machine. Als u de identiteit vervalst, aanvaardt de router de verantwoordelijkheid voor het routeren van pakketten naar de "echte" bestemming. Proxy ARP kan machines op een subnet helpen om externe subnetten te bereiken zonder de noodzaak om routering of een standaardgateway te configureren. Proxy ARP is gedefinieerd in RFC 1027 .
Hoe werkt Proxy ARP
Dit is een voorbeeld van hoe Proxy ARP werkt:
Netwerkdiagram
Netwerkdiagram
De host A (172.16.10.100) op subnet A moet pakketten verzenden naar host D (172.16.20.200) op subnet B. Zoals in het diagram wordt getoond, heeft host A een /16-subnetmasker. Dit betekent dat host A gelooft dat het rechtstreeks is verbonden met het hele netwerk 172.16.0.0. Wanneer host A moet communiceren met apparaten waarvan het denkt dat ze rechtstreeks zijn verbonden, verzendt het een ARP-verzoek naar de bestemming. Wanneer host A een pakket naar host D moet verzenden, is host A daarom van mening dat host D rechtstreeks is aangesloten, dus verzendt het een ARP-verzoek naar host D.
Om host D (172.16.20.200) te bereiken, heeft host A het MAC-adres van host D nodig.
Daarom zendt host A een ARP-verzoek uit op subnet A, zoals wordt getoond:
MAC-adres afzender |
IP-adres van afzender |
MAC-doeladres |
Doel-IP-adres |
00-00-0C-94-36-AA |
172.16.10.100 |
00-00-00-00-00-00 |
172.16.20.200 |
In dit ARP-verzoek vraagt host A (172.16.10.100) dat host D (172.16.20.200) zijn MAC-adres verzendt. Het ARP-aanvraagpakket wordt vervolgens ingekapseld in een Ethernet-frame met het MAC-adres van host A als bronadres en een broadcast (FFFF.FFFF.FFFF) als bestemmingsadres. Aangezien het ARP-verzoek een uitzending is, bereikt het alle knooppunten in het subnet A, dat de e0-interface van de router bevat, maar niet host D bereikt. De uitzending bereikt Host D niet omdat routers standaard geen uitzendingen doorsturen.
Aangezien de router weet dat het doeladres (172.16.20.200) zich op een ander subnet bevindt en host D kan bereiken, antwoordt deze met een eigen MAC-adres op host A.
MAC-adres afzender |
IP-adres van afzender |
MAC-doeladres |
Doel-IP-adres |
00-00-0C-94-36-AB |
172.16.20.200 |
00-00-0C-94-36-AA |
172.16.10.100 |
Dit is het proxy ARP-antwoord dat de router naar host A stuurt. Het Proxy ARP-antwoordpakket is ingekapseld in een Ethernet-frame met het MAC-adres van de router als het bronadres en het MAC-adres van host A als het bestemmingsadres. De ARP-antwoorden zijn altijd unicast voor de oorspronkelijke aanvrager.
Na ontvangst van dit ARP-antwoord werkt host A zijn ARP-tabel bij, zoals weergegeven:
IP-adres |
MAC-adres |
172.16.20.200 |
00-00-0C-94-36-AB |
Vanaf nu stuurt Host A alle pakketten die het wil bereiken naar 172.16.20.200 (Host D) door naar het MAC-adres 00-00-0c-94-36-ab (router). Aangezien de router weet hoe hij Host D moet bereiken, stuurt de router het pakket door naar Host D. De ARP-cache op de hosts in subnet A wordt gevuld met het MAC-adres van de router voor alle hosts op subnet B. Daarom worden alle pakketten die bestemd zijn voor subnet B naar de router verzonden. De router stuurt die pakketten door naar de hosts in subnet B.
De ARP-cache van host A wordt weergegeven in deze tabel:
IP-adres |
MAC-adres |
172.16.20.200 |
00-00-0C-94-36-AB |
172.16.20.100 |
00-00-0C-94-36-AB |
172.16.10.99 |
00-00-0C-94-36-AB |
172.16.10.200 |
00-00-0C-94-36-BB |
Opmerking: Meerdere IP-adressen zijn toegewezen aan één MAC-adres, het MAC-adres van deze router, wat aangeeft dat Proxy ARP in gebruik is.
De interface van de Cisco moet worden geconfigureerd om te accepteren en te reageren op Proxy ARP. Dit is standaard ingeschakeld. De opdracht no ip proxy-arp moet worden geconfigureerd op de interface van de router die is aangesloten op de ISP-router. Proxy ARP kan op elke interface afzonderlijk worden uitgeschakeld met de opdracht interface configuratie geen ip proxy-arp, zoals weergegeven:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface ethernet 0
Router(config-if)#no ip proxy-arp
Router(config-if)#^Z
Router#
Als u Proxy ARP in een interface wilt inschakelen, geeft u de opdracht IP proxy-arp-interfaceconfiguratie uit.
Opmerking: wanneer host B (172.16.10.200/24) op subnet A pakketten probeert te verzenden naar bestemming host D (172.16.20.200) op subnet B, kijkt deze in de IP-routeringstabel en routeert het pakket dienovereenkomstig. Host B (172.16.10.200/24) heeft geen ARP voor Host D IP-adres 172.16.20.200 omdat het tot een ander subnet behoort dan wat is geconfigureerd op Host B ethernet-interface 172.16.10.200/24.
Voordelen van proxy ARP
Het belangrijkste voordeel van Proxy ARP is dat het kan worden toegevoegd aan een enkele router op een netwerk en de routeringstabellen van de andere routers op het netwerk niet verstoort.
Proxy ARP moet worden gebruikt op het netwerk waar IP-hosts niet zijn geconfigureerd met een standaardgateway of geen routeringsintelligentie hebben.
Nadelen van proxy ARP
Hosts hebben geen idee van de fysieke details van hun netwerk en gaan ervan uit dat het een plat netwerk is waarin ze elke bestemming kunnen bereiken als ze een ARP-verzoek verzenden. Wanneer je ARP voor alles gebruikt, zijn er nadelen.
Dit zijn enkele van de nadelen van Proxy ARP:
-
Het verhoogt de hoeveelheid ARP-verkeer op uw segment.
-
Hosts hebben grotere ARP-tabellen nodig om IP-naar-MAC-adrestoewijzingen te verwerken.
-
Veiligheid kan worden ondermijnd. Een machine kan claimen een andere te zijn om pakketten te onderscheppen, een handeling die spoofing wordt genoemd.
-
Het werkt niet voor netwerken die geen ARP gebruiken voor adresresolutie.
-
Het generaliseert niet naar alle netwerktopologieën. Bijvoorbeeld meer dan één router die twee fysieke netwerken met elkaar verbindt.
Gerelateerde informatie