在ensp上的ARP及Proxy ARP

啥是ARP？啥又是Proxy ARP？

ARP是用来将 IP 地址解析为 MAC 地址的协议。 ARP 表项可以分为动态和静态两种类型。动态 ARP ，是利用 ARP 广播报文，
动态执行并自动进行 IP 地址到以太网 MAC 地址的解析，无需网络管理员手工处理。静态 ARP 是建立 lP 地址和 MAC 地址之间固定的映射关系，
在主机和路由器上不能动态调整此映射关系，需要网络管理员手工添加。设备上有一个 ARP 高速缓存（ ARP cache ) ，
用来存放 lP 地址到 MAC 地址的映射表，利用 ARP 请求和应答报文来缓存映射表，以便能正确地把三层数据包封装成二层数据帧，
达到快速封装数据帧、正确转发数据的目的。另外 ARP 还有扩展应用功能，比如 ProxyA 即功能。 Proxy ARP ，即代理 ARP ，
当主机上没有配置默认网关地址（即不知道如何到达本地网络的网关设备），可以发送一个广播 ARP 请求（请求目的主机的 MAC 地址），
使具备 Proxy ARP 功能的路由器收到这样的请求后，在确认请求地址可达后，会使用自身的 MAC 地址作为该 ARP 请求的回应，
使得处于不同物理网络的同一网段的主机之间可以正常通信。

接下来开始实验本实验模拟公司网络场景。路由器 R1 是公司的出口网关，连接到外网。公司内所有员工使用 10 . 1 . 0 . 0 / 16 网段， 通过交换机连接到网关路由器上。网络管理员通过配置静态 A 即防止 ARP 欺骗攻击，保证通信安全。 又由于公司内所有主机都没有配置网关，且分属于不同广播域，造成无法正常通信，网络管理员需要通过在路由器上配置 A 即代理功能，实现网络内所有主机的通信。

实验拓扑图

实验配置

接下来我们看一下主机的ARP表，目前这个表是空的

我们再来看一下路由器的表，表里装了刚才我们设置的两个网关端口

测试连通性，都测一下

刚开始，路由器的ARP表中并没有目标IP地址与目标MAC地址的对应表项，但当ping完之后就会有了，我们再查看一下路由表

下面我们模拟一下当发生ARP攻击时，我们该如何操作（ARP攻击是攻击者向网关发送错误的ARP报文导致正常的主机无法使用服务）

我们使用命令在路由器上静态添加一条关于PC1的错误的ARP映射。（模拟黑客攻击）

我们再看一下路由表已经变了

我们看看这个时候pc1还能不能ping通网关了（这个时候我们已经ping不通网关了）

因为ARP映射了错误的物理地址，我们来抓一下包，可以看到，当pc1发送ping请求时，回去的包，网关发送到了错误的地方

ARP攻击不仅会影响我们网关ARP表的正确性，还会感染其他路由的ARP表，那我们该如何应对这种攻击手段？

我们可以在路由器上设置静态ARP表，如果ip和一个MAC地址的静态映射已经出现在ARP表中，此时动态ARP方式雪莱的映射则无法进入ARP表中

删除掉错误的

绑定正确的

我们在测试一下连通性，连通性恢复正常

当然这种方法的优点是操作简单，但是它的缺点是必须使网络中的设备都在ARP表中，工作量太大，那我们该怎么办呢？

静态ARP不行，Proxy ARP（ARP代理）便出现了

还拿公司举例子，目前公司的网络被路由器R1分割成两个独立的广播域，每个路由器接口对应一个IP网络，分别使10.1.1.0/24和10.1.2.0/24

我们来查看一下R1的路由表

我们可以拿pc2pingpc3

ping不通，那我们抓个包来看一看，可以看到，pc2发的是广播包，可是广播包是过不了路由器的

但是我们如果给R1开启ARP代理呢？我们来开启ARP代理

我们再来用pc2ping一下pc3，抓一下包观察

我们看一下PC2中arp存的是谁的地址

但是这却与实际是不相符的，它存下的是网关10.1.1.254的mac地址

同时我发现pc2能ping通pc3，pc3却ping不通pc2

因为，开启ARP代理后，访问过程是这样的。R1接口收到pc2的ARP广播请求，R1根据目标IP地址查看自身路由表中是否有对应的网络，找到

对应的网络，所以R1直接把自身的GE0/0/1接口的mac地址返回给了PC2，PC2便使用接收到的MAC地址作为目标地址发送给R1，R1收到后再

转发给PC3，同理PC3要想也访问PC2，也需要在R1的GE0/0/2接口上开启ARP代理服务。

这个时候PC3已经能够ping通PC2了

记得save