ARP出现原因
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。其作用是在以太网环境中,数据的传输所依懒的是MAC地址而非IP地址,而将已知IP地址转换为MAC地址的工作是由ARP协议来完成的。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
ARP映射方式
静态映射
静态映射的意思是要手动创建一张ARP表,把逻辑(IP)地址和物理地址关联起来。这个ARP表储存在网络中的每一台机器上。例如,知道其机器的IP地址但不知道其物理地址的机器就可以通过查ARP表找出对应的物理地址。这样做有一定的局限性,因为物理地址可能发生变化:
(1)机器可能更换NIC(网络适配器),结果变成一个新的物理地址。
(2)在某些局域网中,每当计算机加电时,他的物理地址都要改变一次。
(3)移动电脑可以从一个物理网络转移到另一个物理网络,这样会时物理地址改变。
要避免这些问题出现,必须定期维护更新ARP表,此类比较麻烦而且会影响网络性能。
动态映射
动态映射时,每次只要机器知道另一台机器的逻辑(IP)地址,就可以使用协议找出相对应的物理地址。已经设计出的实现了动态映射协议的有ARP和RARP两种。ARP把逻辑(IP)地址映射为物理地址。RARP把物理地址映射为逻辑(IP)地址。
ARP原理及流程
在任何时候,一台主机有IP数据报文发送给另一台主机,它都要知道接收方的逻辑(IP)地址。但是IP地址必须封装成帧才能通过物理网络。这就意味着发送方必须有接收方的物理(MAC)地址,因此需要完成逻辑地址到物理地址的映射。而ARP协议可以接收来自IP协议的逻辑地址,将其映射为相应的物理地址,然后把物理地址递交给数据链路层。
ARP请求
任何时候,当主机需要找出这个网络中的另一个主机的物理地址时,它就可以发送一个ARP请求报文,这个报文包好了发送方的MAC地址和IP地址以及接收方的IP地址。因为发送方不知道接收方的物理地址,所以这个查询分组会在网络层中进行广播。
ARP响应
局域网中的每一台主机都会接受并处理这个ARP请求报文,然后进行验证,查看接收方的IP地址是不是自己的地址,只有验证成功的主机才会返回一个ARP响应报文,这个响应报文包含接收方的IP地址和物理地址。这个报文利用收到的ARP请求报文中的请求方物理地址以单播的方式直接发送给ARP请求报文的请求方。
查看ARP表
交换机作为网关时,通过在网关上查看ARP表项,网络管理员可以查看下挂用户的IP地址、MAC地址和接口等信息。例如,当网络管理员知道某个用户的IP地址,想查询该用户的MAC地址时,可以通过查看ARP表项信息获取。
那我们如何查看设备上的ARP表呢?display arp就可以啦~
功能 | 命令行 |
---|---|
想查看动态的ARP表项? | display arp dynamic |
想查看所有的ARP表项? | display arp all |
想查看静态的ARP表项? | display arp static |
想查看某一网段的ARP表项? | display arp network x.x.x.x |
想查看某一接口相关的ARP表项? | display arp interface xx |
想查看某一VPN实例的ARP表项? | display arp vpn-instance xx |
想查看某个具体IP地址的ARP表项? | display arp all | include x.x.x.x |
举个例子,我们可以在交换机上执行命令display arp network查看172.16.0.0/16网段的ARP表项。ARP表项有S、I、D三种类型,这三种类型的ARP表项是怎么来的?怎么配置?小编待会儿给大家详细介绍。
偶尔是不是还遇到过MAC ADDRESS字段显示为“Incomplete”的情况,不用迷惘,Incomplete表示这条ARP表项是一个临时ARP表项,即设备已经发送了ARP请求报文,但是还没有收到ARP应答。
看了上面的ARP表,或许已经有细心的小伙伴发现:S和D类型的ARP表项中,为什么有的ARP表项没有VLAN信息,有的ARP表项有VLAN信息呢?
因为如果ARP表项没有VLAN信息,那么代表这条表项中的接口处于三层模式,是一个三层口;如果ARP表项有VLAN信息(并且表项中接口不是子接口时),那么代表这条表项中的接口处于二层模式,是一个二层口。
当然,如果你想删除设备上的ARP表项,可以通过执行reset arp { all | dynamic xx | static xx | interface xx }
命令来实现。
三种类型的ARP表项
类型为I的ARP表项比较简单,只要在接口上配置了IP地址,设备上就会生成一条类型为I的ARP表项,类型为I的ARP表项不会老化,IP地址和MAC地址即为接口本身的IP地址和MAC地址。
动态ARP表项学习
大多数情况下,设备可以通过ARP协议动态学习和更新ARP表项。设备是如何进行动态学习的呢?其实动态ARP主要是通过广播ARP请求报文和单播ARP应答报文这两个过程完成地址解析的。
例如小A和小C在一次聚会上互留了IP地址。小A需要与小C进行通信时,知道了小C的IP地址为10.1.1.3/24,判断后发现与自己在同一网段10.1.1.0/24,于是小A会广播发送一个ARP请求报文,请求小C的MAC地址。 小C收到ARP请求报文后,会单播发送一个ARP应答报文,告诉对方自己的MAC地址是3-3-3。(在同一网段的小B也会收到ARP请求报文,但是由于ARP请求报文中的目的IP地址不是小B的IP地址,因此小B不会进行应答。)小A收到ARP应答报文后,就会在自己的ARP表中增加一条动态表项:IP地址10.1.1.3对应MAC地址3-3-3,这样小A就可以与小C进行通信啦。
一方面由于ARP表的容量限制,另一方面也为了保证动态ARP表项的准确性,PC或交换机会对学习到的动态ARP表项进行老化。交换机上动态ARP表项有一定的老化时间,缺省值是20分钟,一般建议使用缺省值。 设备上动态ARP表项到达老化时间后,设备会发送老化探测报文(即ARP请求报文),如果能收到ARP应答报文,则更新该动态ARP表项,本次老化探测结束;如果超过设置的老化探测次数后仍没有收到ARP应答报文,则删除该动态ARP表项,本次老化探测结束。
静态ARP表项配置
对于网络中的重要设备,如服务器等,我们可以在交换机上配置静态ARP表项。这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新,从而保证用户与重要设备之间正常通信。
静态ARP表项不会老化,不会被动态ARP表项覆盖。用户可以通过手工方式配置静态ARP表项,下面小编就给大家举几个例子。
例如,网络中有一台重要的服务器,服务器的IP地址为172.16.10.2,MAC地址为0023-0045-0067。如果交换机与这台服务器相连的接口GE1/0/1处于二层模式,并加入VLAN100。这时可以在交换机上为服务器配置一条对应的ARP表项,具体配置如下。
<Quidway> system-view
[Quidway] vlan batch 100
[Quidway] interface vlanif 100
//VLANIF接口的IP地址需要与静态ARP表项中的IP地址(172.16.10.2)同网段。
[Quidway-Vlanif100] ip address 172.16.10.1 24
[Quidway-Vlanif100] quit
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] port link-type access
//接口GigabitEthernet1/0/1处于二层模式,需要加入VLAN100。
[Quidway-GigabitEthernet1/0/1] port default vlan 100
[Quidway-GigabitEthernet1/0/1] quit
[Quidway] arp static 172.16.10.2 0023-0045-0067 vid 100 interface gigabitethernet 1/0/1
还是上面的那台服务器,如果交换机与服务器相连的接口处于三层模式,这时在交换机上配置静态ARP表项,可以参考如下配置。
<Quidway> system-view
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] undo portswitch
//GigabitEthernet1/0/1的IP地址需要与静态ARP表项中的IP地址(172.16.10.2)同网段。
[Quidway-GigabitEthernet1/0/1] ip address 172.16.10.1 24
[Quidway-GigabitEthernet1/0/1] quit
[Quidway] arp static 172.16.10.2 0023-0045-0067 interface gigabitethernet 1/0/1
当交换机采用多端口ARP方式与NLB服务器群集连接时,NLB服务器的群集IP地址为172.16.40.2,群集MAC地址为02bf-0045-0070。这时在交换机上配置对应的静态ARP表项时,可以参考如下配置。
<Quidway> system-view
[Quidway] arp static 172.16.40.2 02bf-0045-0070
对于出接口是以太网接口,并且以太网接口处于二层模式的情况,建议小伙伴们在配置静态ARP表项时尽量同时指定VLAN和出接口,否则可能导致业务流量不通。
ARP代理(即Proxy ARP)
前面我们提到,主机进行动态ARP学习时,如果发现目的IP地址与自己在同一网段,会发送广播ARP请求报文进行ARP学习。但是呢,有些情况下两台主机虽然在同一网段,但不在同一广播域,目的主机是无法收到ARP请求报文的,因而也就无法成功学习到ARP表项。
在连接两台主机的交换机上使能ARP代理后,交换机相当于一个中介,Host_1发送ARP请求报文请求Host_2的MAC地址的时候,交换机会将自己的MAC地址告诉Host_1。这样Host_1发给Host_2的数据报文会先发给交换机,再由交换机转发给Host_2。
例如下面的三种情况,我们就可以用到ARP代理。
情况一:需要互通的主机Host_1与Host_2(主机上没有配置缺省网关)处于相同的网段但不在同一物理网络(即不在同一广播域)。由于在不同的广播域,Host_1发送的ARP请求报文Host_2是收不到的,这时可以在交换机的VLANIF10和VLANIF20接口上使能路由式Proxy ARP功能(arp-proxy enable),实现Host_1与Host_2之间的互通。
情况二:需要互通的主机Host_1与Host_2处于相同网段,并且属于相同VLAN,但是VLAN内接口IF_1与IF_2配置了端口隔离。由于IF_1与IF_2之间端口隔离,Host_1发送的ARP请求报文Host_2是收不到的,这时可以在Switch上关联了VLAN10的VLANIF接口上使能VLAN内Proxy ARP功能(arp-proxy inner-sub-vlan-proxy enable),实现Host_1与Host_2之间的三层互通。
情况三:需要互通的主机Host_1与Host_2处于相同网段,但属于不同VLAN。由于不在同一VLAN,Host_1发送的ARP请求报文Host_2当然也是收不到的,这时可以在Switch上关联了VLAN10和VLAN20的VLANIF30接口上使能VLAN间Proxy ARP功能(arp-proxy inter-sub-vlan-proxy enable),实现Host_1与Host_2之间的三层互通。