Arp映射表(ARP和代理ARP的配置)

原理概述

1.ARP(地址解析协议):全称是地址解析协议，是一种将IP地址解析成MAC地址(物理地址)的协议。ARP地址条目可以分为动态ARP和静态ARP。

(1)动态ARP: ARP广播报文用于动态映射和转换IP地址为MAC地址。

(2)静态ARP:管理员手动绑定IP地址和MAC地址的映射。

2.代理ARP:代理ARP是指当PC主机没有配置网关地址时，可以通过ARP广播请求目的主机的MAC地址。此时，由于PC主机没有配置网关地址，所以具有代理ARP功能的设备收到这个ARP广播请求后，首先确认地址可达，然后用自己的MAC地址响应这个请求，使得不同网段之间的主机可以正常通信。

实验拓扑

实验要求:

(1)配置静态ARP，防止ARP攻击等。

(2)在R1上配置代理ARP功能，实现所有主机之间的通信。

注意:R1上两个端口的IP地址不是两边主机的网关地址，主机没有配置网关地址。

R1配置:

首先，配置R1两个接口的IP地址。

配置完成后，通过命令display arp all检查R1的ARP缓存表。可以看出，R1的缓存表目前只有其两个接口的地址缓存。

此时，PC1上的ping命令测试到R1和PC2的连通性。

可以观察到当前网络已连接。此时，我们也可以在PC1上通过命令检查ARP缓存表。

由于我们刚刚用ping命令测试了R1和PC3的GE 0/0/1接口，现在可以看到PC1的ARP缓存表中有这两条缓存记录，如果一段时间内没有相应的通信需求，这条缓存记录就会被删除。

配置静态ARP:

让我们首先通过R1上的命令显示arp来检查R1的ARP缓存表。

通过R1的ARP缓存表，我们可以看到主机PC1的缓存记录，其MAC地址为5489-984f-0715。

接下来，我们通过命令arp静态IP地址MAC地址添加一个关于PC1在R1上的错误的ARP映射表条目。我们来测试一下相应的传播效果。首先，在配置静态ARP后，查看R1的ARP缓存表。

接下来，测试PC1与R1的通信效果。

此时，由于PC1的ARP缓存ping R1的ARP缓存表是错误的，导致PC1无法ping通R1。此时我们通过抓包的观察可以知道，R1发给PC1的ping报文第二层报头中的目的MAC地址是5489-984f-0710，而这个MAC地址并不是PC1所在省份的MAC地址，所以此时无法ping通。

为了处理被ARP攻击感染的设备的ARP缓存表，我们可以通过在相应的设备上配置正确的静态ARP映射关系来达到这个目的。接下来，我们在设备R1上配置正确的静态ARP映射关系，并检查R1的正确ARP静态映射表条目。

接下来我们在进行沟通测试，然后就可以通过了。

代理ARP配置

此时，路由器R1将公司划分为两个独立的广播域。因为主机没有配置网关地址，所以此时PC1、PC2和PC3之间没有通信。这时候我们可以通过配置代理ARP来解决它们之间的通信问题。

首先测试PC1和PC3之间的通信。

这个时候，是无法沟通的。接下来，配置代理ARP以在它们之间进行通信。

注意:代理ARP配置在设备的接口下。

代理ARP配置完成后，我们将通过PC1的ping PC3测试代理ARP的功能，如下图所示:

此时，网络中的所有主机都可以进行正常的全网通通信。代理ARP的具体工作原理如下:

以本文为例来说明:

PC1访问PC3的具体过程:路由器R的1的接口GE 0/0/1开启代理ARP功能后，PC1 ping PC3时，R1收到一条ARP广播请求报文，目的地址为192.168.2.2。此时，路由器R1会根据该广播请求中的目标IP地址，查找其路由表中是否有对应的目标网络。经过搜索，R1知道其GE 0/0/2接口是对应的目标网络。此时，R1直接将其GE 0/0/1接口的MAC地址封装在ARP响应报文中，返回给PC1。收到R1的ARP响应报文后，PC1发送报文，将ARP响应报文中的MAC地址作为目的MAC地址，收到报文后转发给最终的目的主机。

以及ARP代理ARP(Proxy)的配置