Comprendre le protocole ARP (Proxy Address Resolution Protocol)
Introduction
Ce document décrit comment Proxy ARP aide les machines sur un sous-réseau à atteindre des sous-réseaux distants sans avoir besoin de configurer le routage ou une passerelle par défaut.
Conditions préalables
Exigences
Ce document nécessite une compréhension du protocole ARP (Proxy Address Resolution Protocol) et de l'environnement Ethernet.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
-
Cisco IOS® Version du logiciel 12.2(10b)
-
Routeurs de la gamme Cisco 2500
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Informations générales
Ce document explique le concept du Protocole de résolution d'adresse (ARP) de proxy. Le proxy ARP est la technique par laquelle un hôte, habituellement un routeur, répond à des requêtes ARP destinées à une autre machine. Si vous usurpez son identité, le routeur accepte la responsabilité du routage des paquets vers la destination « réelle ». Le proxy ARP peut aider des machines sur un sous-réseau à atteindre des sous-réseaux sans devoir configurer un routage ou une passerelle par défaut. Le proxy ARP est défini dans RFC 1027.
Comment le proxy ARP fonctionne-t-il ?
Ceci est un exemple de la façon dont le proxy ARP fonctionne :
Diagramme du réseau
Diagramme du réseau
L’hôte A (172.16.10.100) sur le sous-réseau A doit envoyer des paquets à l’hôte D (172.16.20.200) sur le sous-réseau B. Comme l’illustre le schéma, l’hôte A possède un masque de sous-réseau /16. Cela signifie que l'hôte A croit qu'il est directement connecté à tout le réseau 172 16 0 0. Quand un hôte A a besoin de communiquer avec tout périphérique qu'il croit directement connecté, il envoie une requête ARP à la destination. Par conséquent, quand l'hôte A a besoin d'envoyer un paquet à l'hôte D, l'hôte A croit que l'hôte D est directement connecté, ainsi il envoie une requête ARP à l'hôte D.
Afin d'atteindre l'hôte D (172.16.20.200), l'hôte A a besoin de l'adresse MAC de l'hôte D.
Par conséquent, l'hôte A diffuse une requête ARP sur le sous-réseau A, comme indiqué :
| Adresse MAC de l'expéditeur | Adresse IP de l'expéditeur | Adresse MAC cible | Adresse IP cible+F10534 |
|---|---|---|---|
| 00-00-0c-94-36-aa | 172.16.10.100 | 00-00-00-00-00-00 | 172.16.20.200 |
Dans cette requête ARP, l'hôte A (172.16.10.100) demande que l'hôte D envoie (de 172.16.20.200) son adresse MAC. Le paquet de requête ARP est alors encapsulé dans une trame Ethernet avec l'adresse MAC de l'hôte A en tant qu'adresse source et diffusion (FFFF.FFFF.FFFF) comme adresse de destination. Puisque la requête ARP est une diffusion, elle atteint tous les noeuds dans le sous-réseau A, qui inclut l'interface e0 du routeur, mais n'atteint pas l'hôte D. La diffusion n'atteint pas l'hôte D parce que les routeurs, par défaut, Button, ne transfèrent pas des diffusions.
Puisque le routeur sait que l'adresse de destination (172.16.20.200) est sur un autre sous-réseau et peut atteindre l'hôte D, il répond avec sa propre adresse MAC à l'hôte A.
| Adresse MAC de l'expéditeur | Adresse IP de l'expéditeur | Adresse MAC cible | Adresse IP cible+F10534 |
|---|---|---|---|
| 00-00-0c-94-36-ab | 172.16.20.200 | 00-00-0c-94-36-aa | 172.16.10.100 |
C'est la réponse du proxy ARP que le routeur envoie à l'hôte A. Le paquet de réponse ARP du proxy est encapsulé dans une trame Ethernet avec l'adresse MAC du routeur en tant qu'adresse source et l'adresse MAC de l'hôte A en tant qu'adresse de destination. Les réponses ARP sont toujours monodiffusées au demandeur initial.
Dès réception de cette réponse ARP, l'hôte A met à jour sa table ARP, comme indiqué :
| Adresse IP | Adresse MAC : |
|---|---|
| 172.16.20.200 | 00-00-0c-94-36-ab |
Dorénavant, l'hôte A renvoie tous les paquets qu'il veut pour accéder à 172.16.20.200 (hôte D) à l'adresse MAC 00-00-0c-94-36-ab (routeur). Puisque le routeur sait comment atteindre l'hôte D, le routeur transfère le paquet à l'hôte D. Le cache ARP sur les hôtes du sous-réseau A est rempli avec l’adresse MAC du routeur pour tous les hôtes du sous-réseau B. Par conséquent, tous les paquets destinés au sous-réseau B sont envoyés au routeur. Le routeur transfère ces paquets aux hôtes dans le sous-réseau B.
Le cache ARP de l'hôte A est indiqué dans cette table :
| Adresse IP | Adresse MAC : |
|---|---|
| 172.16.20.200 | 00-00-0c-94-36-ab |
| 172.16.20.100 | 00-00-0c-94-36-ab |
| 172.16.10.99 | 00-00-0c-94-36-ab |
| 172.16.10.200 | 00-00-0c-94-36-bb |
Remarque : plusieurs adresses IP sont mappées à une seule adresse MAC, l'adresse MAC de ce routeur, qui indique que le proxy ARP est utilisé.
L'interface de Cisco doit être configurée pour accepter et répondre au proxy ARP. Ceci est activé par défaut. La no ip proxy-arpcommande doit être configurée sur l’interface du routeur connecté au routeur ISP. Le proxy ARP peut être désactivé sur chaque interface individuellement à l’aide de la commande de configuration d’interface no ip proxy-arp , comme indiqué :
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface ethernet 0
Router(config-if)# no ip proxy-arp
Router(config-if)# ^Z
Router#
Afin d'activer le proxy ARP sur une interface, émettez la commande de configuration d'ip proxy-arpinterface.
Remarque : lorsque l'hôte B (172.16.10.200/24) sur le sous-réseau A tente d'envoyer des paquets à l'hôte de destination D (172.16.20.200) sur le sous-réseau B, il examine sa table de routage IP et achemine le paquet en conséquence. L'hôte B (172.16.10.200/24) ne fait pas ARP pour l'adresse IP de l'hôte D 172.16.20.200 parce qu'il appartient à un sous-réseau différent de ce qui est configuré sur l'interface Ethernet 172.16.20.200/24 de l'hôte B.
Avantages du proxy ARP
L'avantage principal du proxy ARP est qu'il peut être ajouté à un seul routeur sur un réseau et n'affecte pas les tables de routage des autres routeurs sur le réseau.
Le proxy ARP doit être utilisé sur le réseau où les hôtes IP ne sont pas configurés avec une passerelle par défaut ou n'ont pas d'intelligence de routage.
Inconvénients de proxy ARP
Les hôtes n’ont aucune idée des détails physiques de leur réseau et supposent qu’il s’agit d’un réseau plat dans lequel ils peuvent atteindre n’importe quelle destination s’ils envoient une requête ARP. Lorsque vous utilisez ARP pour tout, il y a des inconvénients. Voici certains des inconvénients :
-
Cela augmente la quantité du trafic ARP sur votre segment.
-
Les hôtes ont besoin de plus grandes tables ARP afin de traiter des tracés d'adresse IP-vers-MAC.
-
Cela peut nuire à la sécurité. Une machine peut prétendre être une autre afin d'intercepter des paquets, acte appelé « spoofing ».
-
Cela ne fonctionne pas pour les réseaux qui n'utilisent pas ARP pour la résolution d'adresse.
-
Il ne se généralise pas à toutes les topologies du réseau. Par exemple, plus qu'un routeur qui se connecte à deux réseaux physiques.
Informations connexes
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
3.0 |
02-Jun-2023 |
Recertification |
2.0 |
28-Mar-2022 |
Les liens rompus ont été corrigés ou supprimés. |
1.0 |
02-Dec-2013 |
Première publication |
Commentaires