arp代理（Proxy）

概念

代理ARP是ARP协议的一个变种。对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。同时也会带来巨大的风险，除了ARP欺骗，和某个网段内的ARP增加，最重要的就是无法对网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。

工作原理:

这个主机A要发送数据包到主机D。图表显示主机A使用的是16位掩码。（注意这一点！）主机A相信目的网段是直接连接在172.16.0.0上的。于是主机A直接发送一个ARP请求给目的站点。主机A 需要得到主机D的MAC地址，所以主机A广播ARP请求：00-00-0c-94-36-aa(源MAC) 172.16.10.10(源IP) 000-00-00-00-00-00(目的MAC) 172.16.20.200(目的IP)ARP请求里主机A将自己的MAC地址作为源地址 FFFF.FFFF.FFFF 做为目的地址进行广播。但是路由器的E0 口默认不支持转发广播。所以主机D不能响应这个ARP请求。路由器知道主机D在其他子网，于是用自己的MAC地址来应答A 00-00-0c-94-36-ab 172.16.20.20 000-00-0c-94-36-aa 172.16.10.100 路由器用自己接口的MAC地址作为源地址回复ARP应答给主机A。这个ARP应答总是利用单播来回复。主机A收到ARP请求后更新自己的MAC地址表172.16.20.20 000-00-0c-94-36-ab现在主机A如果发送数据包给主机D就将数据发送给MAC 00-00-0c-94-36-ab.由路由器转发给主机D。所以目的地址为子网B的数据都发送给路由器。子网A内所有主机ARP地址表显示去往子网B主机的MAC地址全是路由器接口的MAC地址。这个路由器转发其他数据包到子网B。这个主机A的ARP 地址表172.16.20.20000-00-0c-94-36-ab172.16.20.10000-00-0c-94-36-ab172.16.10.9900-00-0c-94-36-ab172.16.10.20000-00-0c-94-36-bb多个IP地址被映射到一个MAC地址。标志这在路由器上使用了 proxy-arp。(查看主机的arp表就清楚）

proxy-arp使用案例

网络拓扑

需求

配置步骤

1、R1实现上网功能

Cloud1配置，使用VMware的VMnet8网卡，实现上网。

路由器R1使能DHCP功能，并配置ge0/0/0接口自动获取IP、配置dns解析

[R1]dhcp enable
[R1-GigabitEthernet0/0/0]ip address dhcp-alloc
[R1]dns resolve
[R1]dns server 8.8.8.8

验证R1是否能上网

2、在R1配置dhcp服务，让pc1-pc3能自动获取IP地址

[R1]ip pool studer
[R1]gateway-list 192.168.1.1
[R1]network 192.168.1.0 mask 255.255.255.0
[R1]dns-list 8.8.8.8 
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.1 255.255.255.0
[R1-GigabitEthernet0/0/1]dhcp select global

到此pc1-pc3都能自动获取IP地址，却不能上网，在R1的g0/0/0上抓包发现代理网关无法获取pc1-pc3的MAC地址。

为了解决这一个问题，可以尝试在R1的g0/0/0上开启ARP代理功能。

[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]arp-proxy enable 

配置后测试PC1-PC3是否能上网。

抓包上看到

proxy ARP有哪些优点?

最主要的一个优点就是能够在不影响其他router的路由表的情况下在网络上添加一个新的router,这样使得子网的变化对主机是透明的。

proxy ARP应该使用在主机没有配置默认网关或没有任何路由策略的网络上

proxy ARP带来的哪些负面影响?