本文详细描述了一个实验,通过模拟公司网络环境,学习和实践静态ARP和ProxyARP的配置,以防止ARP欺骗攻击,确保主机间通信的安全。实验包括理解ARP工作原理,配置静态ARP阻止错误映射,以及启用ProxyARP解决跨网段通信问题。
目录
需要完整的配置命令大全的可以点击链接自取:华为eNSP各种设备配置命令大全PDF版资源-优快云文库
名词解释
ARP (Address Resolution Protocol)是用来将IP地址解析为MAC地址的协议。ARP表项可以分为动态和静态两种类型。
动态ARP是利用ARP广播报文,动态执行并自动进行IP地址到以太网MAC地址的解析,无需网络管理员手工处理。
静态ARP是建立IP地址和MAC地址之间固定的映射关系,在主机和路由器上不能动态调整此映射关系,需要网络管理员手工添加。设备上有一个ARP高速缓存(ARP cache),用来存放IP地址到MAC地址映射表,利用ARP请求和应答报文来缓存映射表址到MAC地址的映射表,利用ARP请求和应答报文来缓存映射表,以便能正确地把三层数据包封装成二层数据帧,达到快速封装数据帧、正确转发数据的目的。另外ARP还有扩展应用功能,比如Proxy ARP功能。
代理ARP(Proxy-arp)的原理就是当出现跨网段的ARP请求时,路由器将自己的MAC返回给发送ARP广播请求发送者,实现MAC地址代理(善意的欺骗),最终使得主机能够通信。
实验内容
本实验模拟公司网络场景。路由器R1是公司的出口网关,连接到外网。公司内所有员工使用10.1.0.0/16网段,通过交换机连接到网关路由器上。网络管理员通过配置静态ARP防止ARP欺骗攻击,保证通信安全。又由于公司内所有主机都没有配置网关,且分属于不同广播域,造成无法正常通信,网络管理员需要通过在路由器上配置ARP代理功能,实现网络内所有主机的通信。
实验目的
1、理解ARP工作原理;
2、掌握配置静态ARP的方法;
3、掌握Proxy ARP的工作原理;
4、掌握Proxy ARP的配置;
5、理解主机之间的通信过程。
实验步骤
1、基本配置;
2、配置静态ARP;
3、配置Proxy ARP。
实验拓扑
配置过程
基础配置
第一步:基础配置(各个PC对应的IP地址也许配置好)
<Huawei>sys
[Huawei]sysname R1
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.1.1.254 24
[R1-GigabitEthernet0/0/1]interface g0/0/2
[R1-GigabitEthernet0/0/2]ip address 10.1.2.254 24
[R1-GigabitEthernet0/0/2]
/*配置完成后,查看ARP表*/
[R1]display arp all
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN PVC
------------------------------------------------------------------------------
10.1.1.254 00e0-fc1d-4eec I - GE0/0/1
10.1.2.254 00e0-fc1d-4eed I - GE0/0/2
------------------------------------------------------------------------------
Total:2 Dynamic:0 Static:0 Interface:2
[R1]
/*PC1和PC3分别ping网关后,再次查看结果如下*/
[R1]display arp all
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN PVC
------------------------------------------------------------------------------
10.1.1.254 00e0-fc1d-4eec I - GE0/0/1
10.1.1.1 5489-9854-1dd9 20 D-0 GE0/0/1
10.1.2.254 00e0-fc1d-4eed I - GE0/0/2
10.1.2.3 5489-98dd-6bfa 20 D-0 GE0/0/2
------------------------------------------------------------------------------
Total:4 Dynamic:2 Static:0 Interface:2 配置静态ARP
第二步:配置静态ARP
模拟ARP攻击发生时,网络的通信受到了影响。在网关R1上,使用
arp static 10.1.1.1 5489-9854-9dd9命令在路由器上静态添加一条关于PC-1的错误
的ARP映射,假定此映射条目是通过一个ARP攻击报文所获得的(静态的条目优于动态的条
目),所以错误的映射将出现在ARP表中。
应对ARP欺骗攻击,防止其感染路由器的ARP表,可以通过配置静态ARP表项来实现。
如果P地址和一个MAC地址的静态映射已经出现在ARP表中,则通过动态ARP方式学来的映
射则无法进入ARP表
/*手动配置三条关于PC1、PC2和PC3的正确ARP映射*/
[R1]arp static 10.1.1.1 5489-9854-1dd9
[R1]arp static 10.1.1.2 5489-9880-7f4c
[R1]arp static 10.1.2.3 5489-98dd-6bfa
[R1]display arp all
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN PVC
------------------------------------------------------------------------------
10.1.1.254 00e0-fc1d-4eec I - GE0/0/1
10.1.2.254 00e0-fc1d-4eed I - GE0/0/2
10.1.1.1 5489-9854-1dd9 S--
10.1.1.2 5489-9880-7f4c S--
10.1.2.3 5489-98dd-6bfa S--
------------------------------------------------------------------------------
Total:5 Dynamic:0 Static:3 Interface:2
[R1]
配置完成后记得测试网络的连通性第三步:配置Proxy ARP
//默认情况下,路由器的ARP代理功能是关闭的。
在第二步之后,PC1和PC2可以互通,但是却ping不通PC3
[R1]interface g0/0/1
//开启ARP代理功能
[R1-GigabitEthernet0/0/1]arp-proxy enable
//此步骤之后PC1和PC2可以ping通PC3,但反过来却不行
[R1-GigabitEthernet0/0/1]interface g0/0/2
[R1-GigabitEthernet0/0/2]arp-proxy enable
[R1-GigabitEthernet0/0/2]
//此时三个PC之间均可互相ping通
扫一扫
5877
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
