前文我們了解了埠隔離相關話題,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/16186451.html;今天我們來聊一聊ARP代理相關話題;
埠隔離之破解之道
前文我們通過抓包可以看到,當同一vlan下的埠做了雙向埠隔離或者單向埠隔離以后,對應的埠就不能正常通信;其中最主要的原因是通信雙方在通信時,拿不到對方的mac;拿不到通信對方的mac,以太網二層封裝就封裝不了,從而導致通信無法正常進行;那怎么打破埠隔離這樣的限制呢?其實也很簡單,我們找一個中間設備或介面,該介面能夠和通信雙方正常通信,然后賦予該介面轉發arp的功能,是不是可以實作做過埠隔離的雙方實作通信呢?
代理ARP
所謂代理ARP是指,如果ARP請求是從一個網路的主機發往同一網段,卻不再同一物理物理網路上的另一臺主機(即相互隔離的同一網段內的主機),那么連接它們的具有代理ARP功能的設備就可以回答該請求,這個程序就叫做代理ARP(Proxy ARP);代理ARP屏蔽了分離的物理網路,使用戶使用起來就好像在同一物理網路上一樣;代理ARP可以分為兩大類,一類是連接相同三層介面的本地代理和連接不同三層介面的普通代理arp;
普通代理ARP
提示:普通代理ARP是通信雙方分別連接到設備的不同三層介面上,且這些主機不再同一廣播域上;如上圖主機A和主機B,分別連接路由器的兩個埠上;但是主機A和主機B通信時,由于掩碼都是16位,網路地址都一樣,所以主機A和主機B通信時,它們都會先發送ARP請求(因為同一網段,不需要找網關);但是主機A或主機B如果直接發送arp請求,都會被路由器分割,所以導致通信無法正常進行;要想正常進行,我們需要在路由器的兩個介面上開啟代理ARP,這樣主機A或主機B發送的arp請求都會通過開啟路由器代理arp的介面轉發,從而實作拿到對方mac實作通信;
本地代理ARP
提示:本地代理ARP就是指想要互通的主機連接到設備的同一個三層介面上,且這些主機不再同一廣播域中;如上圖主機A和主機B都同屬VLAN2 且有做了雙向埠隔離,此時主機A和主機B的通信就依賴一個三層介面來代理ARP實作通信;
實驗:在交換機上我們做了pc1和pc2雙向埠隔離,pc1和pc3做了單向埠隔離,在不取消埠隔離的情況下是實作pc1和pc2、pc3互通
交換機配置
sys sys sw1 vlan 12 int g0/0/1 port link-type access port default vlan 12 int g0/0/2 port link-type access port default vlan 12 int g0/0/3 port link-type access port default vlan 12 int g0/0/1 port-isolate en int g0/0/2 port-isolate en int g0/0/3 am isolate g0/0/1View Code
驗證隔離資訊
驗證:pc1和pc2、pc3的互通性
提示:現在pc1和pc2、pc3都是不通的;
在交換機上啟用一個vlanif12的介面,并配置和pc1、pc2同網段ip地址
在vlanif 12介面上開啟同vlan內arp代理
提示:在三層交換機上開啟arp代理分同一vlan內的arp代理和不同vlan間的arp代理;上述實驗環境需要在三層介面上開啟同一vlan內的arp代理;arp-proxy 這個命令是路由器上開啟arp代理;
驗證:pc1和pc2、pc3的互通性
提示:可以看到現在pc1和pc2、pc3都能正常通信;
在pc1上查看arp表
提示:可以看到在pc1上pc2和pc3的mac地址都是同vlanif 12介面mac地址一樣,這是為什么呢?其實從上面的mac地址表我們就能想到,pc1和pc2、pc3通信都是用的vlanif 12的mac,這是因為pc1和pc2、pc3通信時發送arp請求,對應回復pc1的都是vlanif12介面;
清空三臺pc上的arp地址表和交換機的mac地址表,抓包查看其程序
提示:可以看到pc1pingpc2時,首先是pc1發送arp廣播,說誰是1.0.0.2,請告訴我你的mac地址,此時vlanif 12收到pc1發送的arp廣播后,它一看自己的路由表是可以直接到達1.0.0.2,所以它就把自己的mac地址告訴pc1,然后vlanif 12又發送arp請求,說誰是1.0.0.2,請把mac地址告訴1.0.0.12,此時pc2收到arp廣播后,就把自己的mac告訴1.0.0.12,后續pc發送資料給vlanif12 ,vlanif12 通過拆除以太網二層包頭,然后又用pc2的mac地址作為目標mac封裝以太網二層包頭發送給pc2;pc1同pc3的通信程序同pc1和pc2的程序一樣;
埠隔離之防破解之道
通過上述實驗可以看到如果我們在三層交換機上創建vlanif介面,并開啟arp代理,那么我們之前配置的埠隔離就失效了,那怎么避免呢?其實很簡單,默認情況下埠隔離只是隔離的二層,如果我們想要把三層也給隔離了,只需要修改埠隔離模式為all即可,如下所示
驗證:pc1和pc2、pc3的互通性
提示:可以看到現在把隔離模式修改為all以后,即便我們在交換機上創建了vlanif介面,也開啟了arp代理,對應通信還是被隔離的;這是因為之前只是隔離二層,現在修改隔離模式為all,表示二層和三層都做隔離;所以現在即便有三層介面,也開啟了arp代理,對應通信也是被隔離的;
代理arp之寫靜態路由出介面和下一跳區別
在前邊聊靜態路由時,我們特意提到在寫靜態路由時,如果是以太網鏈路上,我們推薦寫下一跳地址,不推薦寫出介面,這是為什么呢?先看一個實驗
如上實驗環境,我們在R1上配置靜態路由時,為什么推薦寫下一跳呢?
寫下一跳,然后r1 ping 2.2.2.2 抓包查看其程序
在R1抓包看看通信程序
提示:可以看到R1ping 2.2.2.2時,根據靜態路由,它首先會發送arp請求下一跳的arp;
靜態路由改寫成出介面,看看對應通信又有什么變化呢?
在R1上抓包,看看通信程序
提示:可以看到當我們寫靜態路由寫成出介面后,R1會直接問2.2.2.2的mac地址,它會認為2.2.2.2和本地直連;這樣一來會導致一個問題就是拿不到2.2.2.2的mac;從而導致通信無法正常完成;
分析:之所以在以太網環境中寫靜態路由推薦寫下一跳地址,是因為寫下一跳,路由器會發送要下一跳的mac地址,從而實作通信;寫出介面就是告訴路由器去往目標網段,直接將資料發送給對應出介面即可;這樣一來導致路由器認為目標網段和出介面直連(誤認為出介面和目標地址在同一廣播域,所以它就直接發送arp請求目標地址的mac地址),從而導致拿不到目標網段的mac,導致通信無法正常完成;
在R2上開啟arp代理,實作通信
驗證:R1ping2.2.2.2看看是否能通?
提示:可以看到在R2上開啟arp代理以后,對應通信就能正常進行;這是因為R1發送arp請求2.2.2.2的mac地址,R2的g0/0/0口收到arp請求以后,一看自己的路由表中能夠到達2.2.2.2,且該介面也開啟了arp代理,所以它會把自己的mac告訴給R1,然后R1有了2.2.2.2的mac后,后續就可以直接封裝以太網包頭發送資料;
那為什么點到點的串行鏈路中寫下一跳或出介面都行呢?
因為,串行鏈路中不需要封裝mac地址!!!
作者:Linux-1874 出處:https://www.cnblogs.com/qiuhom-1874/ 本文著作權歸作者和博客園共有,歡迎轉載,但未經作者同意必須保留此段宣告,且在文章頁面明顯位置給出原文連接,否則保留追究法律責任的權利.轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/463522.html
標籤:其他