#交换设备
路由器ARP和ARP-proxy(华为)
当一个广播域中的主机想要访问另外一个广播域的主机时,会广播ARP报文,询问目标IP地址所对应的MAC地址,默认情况下,arp记录是设备自动生成的,但是这样会容易受到ARP欺骗攻击,被攻击者使用正确的IP地址将访问到不正确的目标主机。
- 通过设置静态ARP可以遏止这种攻击行为
实验中各个主机没有设置网关
一、设置静态ARP
- 在R1上手工配置三条静态ARP
arp static 10.1.1.1 5489-98e6-38bb
arp static 10.1.1.2 5489-98a0-0657
arp static 10.1.2.3 5489-9884-0164
- 使用pc2 ping pc3时无法通联,是由于pc1和pc2与pc3不属于同一个广播域,pc1和pc2无法访问pc3,左侧主机的arp请求无法跨越路由器,从而得到pc3的响应
公司网络中出现ARP 攻击的情况是比较常见的, 防御的办法之一是在ARP 表中手工添加ARP 映射。此种方法的优点是简单易操作, 不足之处是网络中每个网络设备都有ARP 表, 要全方位保护网络就要在尽可能多的三层设备上把全网的ARP 映射手工写入到ARP 表里, 工作量过大, 如果更换IP 或MAC后, 还需要手工史新ARP 映射, 远没有动态ARP 协议维护ARP 表方便。但如果公司网络规模不大或者网络设备不多的情况下, 静态ARP 方案还是具有一定优势的。
二、设置ARP代理
- 当网络中主机没有设置网关时,可在路由器上设置ARP代理
- 将路由器左侧的接口配置ARP代理功能,
R1:
int g0/0/1
arp-proxy enable
- 这样就实现了pc1和pc2可以通信pc3,但是pc3不能ping通pc1和pc2
- 想要实现双向通信,需要在路由器的g0/0/2接口进行同样的配置
三、通信过程
当pc2 ping 10.1.2.3时,R1将收到ARP广播报文,它发现自己的路由表中 g0/0/2接口就是10.1.2.0网段,R1直接将g0/0/2接口的mac地址通过ARP响应给pc2,pc2接收到ARP响应后使用该MAC地址作为目标地址发送报文给R1,R1收到后再把报文转发给pc3