ARP代理(ARP Proxy)
ARP 代理:
1. 路由式 ARP 代理
解决同一网段不同物理网络上计算机的互通问题
当网关存在被请求 IP 地址的路由时,才会以本接口的 MAC 响应 ARP 请求
华为设备测试 ARP 请求时,无法正常展示,所以使用思科设备
接口地址正常配置完成后,R1 访问 R3,R1 会先发送自己的 IP 地址和 MAC 地址以及 R3 的 IP 地址和 R3 的 MAC (00000000) 地址,R2 会根据请求的 IP 地址,寻找设备R3,因为 R2 上开启了 ARP 代理,所以R2 发给 R3 的 源MAC 地址会将 R1 的 MAC 地址变成 R2 设备接口f0/0 的MAC地址,R3 收到请求之后,将自己的 IP 地址和 MAC 地址回应,同理在 R2 的时候,因为开启了 ARP 代理,会将 R3 的 MAC 地址变成 R2 设备接口 f1/0 的 MAC 地址,让 R1 误认为 R2 设备 f1/0 接口的 MAC 就是请求的 R3 的 MAC,这就是 ARP 代理,也称为 ARP 欺骗。一旦关闭 R2 设备上两个接口其中之一,此通信就无法成功
2. VLAN 内 ARP 代理
解决相同 VLAN 内,且 VLAN 配置用户隔离后的网络上的计算机互通问题
端口隔离:只适用于同 VLAN
需要将接口加入到隔离组中,主要作用是隔离同一 VLAN 内的主机互访
如何实现隔离:
将交换机内的接口,放入到一个隔离组中,处于相同隔离组中的端口不能互访
相同隔离组下的端口不能进行互访
不同隔离组下的端口可以互访
没有配置隔离组的端口(普通端口)可以跟所有接口互访
端口隔离配置:进入接口配置
[Huawei-g0/0/1] port-isolate enable group 1 //开启端口隔离并将 g0/0/1 接口加入到隔离组 1 中
在 DSLAM 上将两个端口配置端口隔离:port-isolate enable group 1
LSW1配置接口类型为 access 并允许 vlan 10 通过,配置 vlan 内 ARP 代理
[Huawei-vlanif10] arp-proxy inner-sub-vlan-proxy enable //启用 vlan 内 ARP 代理
VLAN 内 ARP 代理前提:
被请求的 IP 地址和自己在一个网段
自身存在被请求 IP 地址的 ARP 表项
3. VLAN 间 ARP 代理
解决不同 VLAN 之间对应计算机的三层互通问题
使用的是 vlan 聚合:帮助子 VLAN 实现链路间的通信
创建 vlan 2 3 4,其中 vlan 2 3 是子 vlan,vlan 4 是聚合vlan
聚合 vlan 配置:
LSW2:
先配置好两个接口的类型为 access 并允许对应 vlan 通过
vlan 4 //聚合 vlan 的编号是 vlan 4
Ip address x.x.x.x //添加 IP 地址
aggregate-vlan //启用聚合vlan
access-valn 2 3 //将 vlan 2 3 聚合 vlan 4
arp-proxy inter-sub-vlan-proxy enable //开启 vlan 间 ARP 代理
PC1测试PC2的连通性,PC1 发送自己的 IP 地址和 MAC 地址以及需要访问的 IP 地址和 MAC (00000000) 地址,网关查找路由表,此时网关启用了 ARP 代理,所以使用自己 vlan 4 的 MAC 地址代理 PC1 的 MAC 地址,PC2 收到请求之后,回应自己的 MAC 地址,网关同样的使用自己的 vlan 4 的 MAC 地址代理 PC2 的 MAC,PC1 收到之后,将 PC2 的IP地址 和 网关 vlan 4 的 MAC 存入自己的 ARP 表项中,误认为此时的 MAC 就是 PC2 的 MAC,同理 PC2 也是。
VLAN 间 ARP 代理前提:
被请求的 IP 地址和自己在一个网段
自身存在被请求 IP 地址的 ARP 表项