一、免費ARP簡介
免費 ARP 報文是一種特殊的 ARP 報文,該報文中攜帶的發送端 IP 地址和目標 IP 地址都是本機 IP
地址。
A、設備通過對外發送免費 ARP 報文來實現以下功能:
1、確定其它設備的 IP 地址是否與本機的 IP 地址衝突。當其它設備收到免費 ARP 報文後,如果
發現報文中的 IP 地址和自己的 IP 地址相同,則給發送免費 ARP 報文的設備返回一個 ARP 應
答,告知該設備 IP 地址衝突。
2、 設備改變了硬件地址,通過發送免費 ARP 報文通知其它設備更新 ARP 表項。
B、 免費ARP報文學習功能的作用
啟用了免費 ARP 報文學習功能後,設備會根據收到的免費 ARP 報文中攜帶的信息(發送端 IP 地
址、發送端 MAC 地址)對自身維護的 ARP 表進行修改。設備先判斷 ARP 表中是否存在與此免費
ARP 報文中的發送端 IP 地址對應的 ARP 表項:
如果沒有對應的 ARP 表項,設備會根據該免費 ARP 報文中攜帶的信息新建 ARP 表項;
如果存在對應的ARP表項,設備會根據該免費ARP報文中攜帶的信息更新對應的ARP表項。
關閉免費 ARP 報文學習功能後,設備不會根據收到的免費 ARP 報文來新建 ARP 表項,但是會更
新已存在的對應 ARP 表項。如果用戶不希望通過免費 ARP 報文來新建 ARP 表項,可以關閉免費
ARP 報文學習功能,以節省 ARP 表項資源。
C、定時發送免費ARP功能的作用
定時發送免費 ARP 功能可以及時通知下行設備更新 ARP 表項或者 MAC 地址表項,主要應用場景
如下:
(1) 防止仿冒網關的 ARP 攻擊
如果攻擊者仿冒網關發送免費 ARP 報文,就可以欺騙同網段內的其它主機,使得被欺騙的主機訪
問網關的流量被重定向到一個錯誤的 MAC 地址,導致其它主機用戶無法正常訪問網絡。
為了降低這種仿冒網關的 ARP 攻擊所帶來的影響,可以在網關的接口上啟用定時發送免費 ARP 功
能。啟用該功能後,網關接口上將按照配置的時間間隔週期性發送接口主 IP 地址和手工配置的從
IP 地址的免費 ARP 報文。這樣,每臺主機都可以學習到正確的網關,從而正常訪問網絡。
(2) 防止主機 ARP 表項老化
在實際環境中,當網絡負載較大或接收端主機的 CPU 佔用率較高時,可能存在 ARP 報文被丟棄或
主機無法及時處理接收到的 ARP 報文等現象。這種情況下,接收端主機的動態 ARP 表項會因超時
而老化,在其重新學習到發送設備的 ARP 表項之前,二者之間的流量就會發生中斷。
為了解決上述問題,可以在網關的接口上啟用定時發送免費 ARP 功能。啟用該功能後,網關接口
上將按照配置的時間間隔週期性發送接口主IP地址和手工配置的從IP地址的免費ARP報文。這樣,
接收端主機可以及時更新 ARP 映射表,從而防止了上述流量中斷現象。
(3) 防止 VRRP 虛擬 IP 地址衝突
當網絡中存在 VRRP 備份組時,需要由 VRRP 備份組的 Master 路由器週期性的向網絡內的主機發
送免費 ARP 報文,使主機更新本地 ARP 地址表,從而確保網絡中不會存在 IP 地址與 Master 路由
器 VRRP 虛擬 IP 地址相同的設備。免費 ARP 報文中的發送端 MAC 為 VRRP 虛擬路由器對應的虛
擬 MAC 地址。
二、代理ARP
如果 ARP 請求是從一個網絡的主機發往同一網段卻不在同一物理網絡上的另一臺主機,那麼連接
它們的具有代理 ARP 功能的設備就可以回答該請求,這個過程稱作代理 ARP(Proxy ARP)。
代理 ARP 功能屏蔽了分離的物理網絡這一事實,使用戶使用起來,好像在同一個物理網絡上。
代理 ARP 分為普通代理 ARP 和本地代理 ARP,二者的應用場景有所區別:
1、普通代理 ARP 的應用場景為:想要互通的主機分別連接到設備的不同三層接口上,且這些主
機不在同一個廣播域中。
2、 本地代理 ARP 的應用場景為:想要互通的主機連接到設備的同一個三層接口上,且這些主機
不在同一個廣播域中。
三、ARP Snooping簡介
1、作用
ARP Snooping 功能是一個用於二層交換網絡環境的特性,通過偵聽 ARP 報文建立 ARP Snooping
表項,從而提供給 MFF(MAC-Forced Forwarding,MAC 強制轉發)手動方式使用
2、工作機制
設備上在一個 VLAN 中啟用 ARP Snooping 後,該 VLAN 內所有端口接收的 ARP 報文會被上送到
CPU。CPU 對上送的 ARP 報文進行分析,獲取 ARP 報文的發送端 IP 地址、發送端 MAC 地址、
VLAN 和入端口信息,建立記錄用戶信息的 ARP Snooping 表項。
ARP Snooping 表項的老化時間為 25 分鐘,有效時間為 15 分鐘。如果一個 ARP Snooping 表項自
最後一次更新後 15 分鐘內沒有收到 ARP 更新報文,則此表項開始進入失效狀態,不再對外提供服
務,其他特性查找此表項將會失敗。當收到發送端 IP 地址和發送端 MAC 與已存在的 ARP Snooping
表項 IP 地址和 MAC 均相同的 ARP 報文時,此 ARP Snooping 表項進行更新,重新開始生效,並
重新老化計時。當 ARP Snooping 表項達到老化時間後,則將此 ARP Snooping 表項刪除。
如果 ARP Snooping 收到 ARP 報文時檢查到相同 IP 的 ARP Snooping 表項已經存在,但是 MAC
地址發生了變化,則認為發生了攻擊,此時 ARP Snooping 表項處於衝突狀態,表項失效,不再對
外提供服務,並在 25 分鐘後刪除此表項。
閱讀更多 專注分享網絡技術 的文章
