本文详细介绍了ARP代理的概念及其在VLAN隔离环境中的应用。通过开启ARP代理,三层设备能够帮助不同VLAN的主机进行通信,即使在端口隔离的设置下。实验展示了如何在三层设备上配置ARP代理,以允许特定部门访问其他部门,同时保持原有的VLAN隔离策略。同时,讨论了开启ARP代理对VLAN隔离的影响,并提供了防止 ARP 代理失效的配置建议。
目录
1、介绍
Proxy ARP :如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上 的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过 程称作代理ARP(Proxy ARP)
- 屏蔽了分离的物理网络,使用户使用起来,好像在同一个物理网络上。
- 分为普通代理ARP和本地代理ARP。
2、继续上篇文章的实验操作 — Vlan隔离技术
在vlan隔离这个实验中已经做到领导班子、员工部可以访问财务部但它俩部门之间不能互相访问。还做到了领导班子访问财务部,但是财务部不能访问领导班子。如下图需求:
现在我们开启arp代理功能,使得领导班子能够访问员部门与财务部
SW配置:
interface Vlanif 1
ip address 1.0.0.254 8
arp-proxy inner-sub-vlan-proxy enable 验证:
3、 代理思路详解
首先代理功能只能在三层设备、路由器上实现,二层是不具备代理条件。
- 在三层设备创建接口vlanif 1并开启同一vlan内代理
- 当领导班子发送请求包到员工部的时候,请求先是到SW设备中发现找不到员工部的mac地址所以无法发送。但是此时vlanif 1口是知道领导班子要去的mac地址在哪,于是vlan if 就替领导班子到员工部门请求
- 得到请求回复后vlanif 1就反馈给领导班子,此时领导班子仍然是不知道员工部mac地址的
4、ARP代理常用命令
注意: 代理功能只能在带有三层路由功能的设备上才能开启。
arp-proxy enable 开启代理ARP,一般路由器用此命令
#下面两条命令常用与三层设备
arp-proxy inner-sub-vlan-proxy enable 开启代理ARP,相同VLAN内
arp-proxy inter-sub-vlan-proxy enable 开启代理ARP,不同VLAN间5、补充:想一想?
如果开启ARP代理那之前做的需求不就形同虚设了吗,不就等于什么都没做吗?
之前的需求是在二层交换层做的隔离,ARP代理是在三层代理的,那么配置端口隔离模式为二、三层都隔离ARP代理就会失效,可以通过以下命令配置。
port-isolate mode all #端口隔离模式为二层三层都隔离,默认是二层测试:
扫一扫
1656
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
