一、免费ARP简介
免费 ARP 报文是一种特殊的 ARP 报文,该报文中携带的发送端 IP 地址和目标 IP 地址都是本机 IP
地址。
A、设备通过对外发送免费 ARP 报文来实现以下功能:
1、确定其它设备的 IP 地址是否与本机的 IP 地址冲突。当其它设备收到免费 ARP 报文后,如果
发现报文中的 IP 地址和自己的 IP 地址相同,则给发送免费 ARP 报文的设备返回一个 ARP 应
答,告知该设备 IP 地址冲突。
2、 设备改变了硬件地址,通过发送免费 ARP 报文通知其它设备更新 ARP 表项。
B、 免费ARP报文学习功能的作用
启用了免费 ARP 报文学习功能后,设备会根据收到的免费 ARP 报文中携带的信息(发送端 IP 地
址、发送端 MAC 地址)对自身维护的 ARP 表进行修改。设备先判断 ARP 表中是否存在与此免费
ARP 报文中的发送端 IP 地址对应的 ARP 表项:
如果没有对应的 ARP 表项,设备会根据该免费 ARP 报文中携带的信息新建 ARP 表项;
如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。
关闭免费 ARP 报文学习功能后,设备不会根据收到的免费 ARP 报文来新建 ARP 表项,但是会更
新已存在的对应 ARP 表项。如果用户不希望通过免费 ARP 报文来新建 ARP 表项,可以关闭免费
ARP 报文学习功能,以节省 ARP 表项资源。
C、定时发送免费ARP功能的作用
定时发送免费 ARP 功能可以及时通知下行设备更新 ARP 表项或者 MAC 地址表项,主要应用场景
如下:
(1) 防止仿冒网关的 ARP 攻击
如果攻击者仿冒网关发送免费 ARP 报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访
问网关的流量被重定向到一个错误的 MAC 地址,导致其它主机用户无法正常访问网络。
为了降低这种仿冒网关的 ARP 攻击所带来的影响,可以在网关的接口上启用定时发送免费 ARP 功
能。启用该功能后,网关接口上将按照配置的时间间隔周期性发送接口主 IP 地址和手工配置的从
IP 地址的免费 ARP 报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。
(2) 防止主机 ARP 表项老化
在实际环境中,当网络负载较大或接收端主机的 CPU 占用率较高时,可能存在 ARP 报文被丢弃或
主机无法及时处理接收到的 ARP 报文等现象。这种情况下,接收端主机的动态 ARP 表项会因超时
而老化,在其重新学习到发送设备的 ARP 表项之前,二者之间的流量就会发生中断。
为了解决上述问题,可以在网关的接口上启用定时发送免费 ARP 功能。启用该功能后,网关接口
上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,
接收端主机可以及时更新 ARP 映射表,从而防止了上述流量中断现象。
(3) 防止 VRRP 虚拟 IP 地址冲突
当网络中存在 VRRP 备份组时,需要由 VRRP 备份组的 Master 路由器周期性的向网络内的主机发
送免费 ARP 报文,使主机更新本地 ARP 地址表,从而确保网络中不会存在 IP 地址与 Master 路由
器 VRRP 虚拟 IP 地址相同的设备。免费 ARP 报文中的发送端 MAC 为 VRRP 虚拟路由器对应的虚
拟 MAC 地址。
二、代理ARP
如果 ARP 请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接
它们的具有代理 ARP 功能的设备就可以回答该请求,这个过程称作代理 ARP(Proxy ARP)。
代理 ARP 功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
代理 ARP 分为普通代理 ARP 和本地代理 ARP,二者的应用场景有所区别:
1、普通代理 ARP 的应用场景为:想要互通的主机分别连接到设备的不同三层接口上,且这些主
机不在同一个广播域中。
2、 本地代理 ARP 的应用场景为:想要互通的主机连接到设备的同一个三层接口上,且这些主机
不在同一个广播域中。
三、ARP Snooping简介
1、作用
ARP Snooping 功能是一个用于二层交换网络环境的特性,通过侦听 ARP 报文建立 ARP Snooping
表项,从而提供给 MFF(MAC-Forced Forwarding,MAC 强制转发)手动方式使用
2、工作机制
设备上在一个 VLAN 中启用 ARP Snooping 后,该 VLAN 内所有端口接收的 ARP 报文会被上送到
CPU。CPU 对上送的 ARP 报文进行分析,获取 ARP 报文的发送端 IP 地址、发送端 MAC 地址、
VLAN 和入端口信息,建立记录用户信息的 ARP Snooping 表项。
ARP Snooping 表项的老化时间为 25 分钟,有效时间为 15 分钟。如果一个 ARP Snooping 表项自
最后一次更新后 15 分钟内没有收到 ARP 更新报文,则此表项开始进入失效状态,不再对外提供服
务,其他特性查找此表项将会失败。当收到发送端 IP 地址和发送端 MAC 与已存在的 ARP Snooping
表项 IP 地址和 MAC 均相同的 ARP 报文时,此 ARP Snooping 表项进行更新,重新开始生效,并
重新老化计时。当 ARP Snooping 表项达到老化时间后,则将此 ARP Snooping 表项删除。
如果 ARP Snooping 收到 ARP 报文时检查到相同 IP 的 ARP Snooping 表项已经存在,但是 MAC
地址发生了变化,则认为发生了攻击,此时 ARP Snooping 表项处于冲突状态,表项失效,不再对
外提供服务,并在 25 分钟后删除此表项。
閱讀更多 專注分享網絡技術 的文章
