WikiDer > Прокси-ARP

Proxy ARP

Прокси-ARP это метод, с помощью которого прокси-устройство в данной сети отвечает на ARP запросы на айпи адрес этого нет в той сети. Прокси-сервер знает, где находится пункт назначения трафика, и предлагает свои собственные MAC-адрес в качестве (якобы конечного) пункта назначения.^[1] Трафик, направляемый на прокси-адрес, обычно направляется прокси-сервером в предполагаемое место назначения через другой интерфейс или через туннель.

Процесс, в результате которого узел отвечает своим собственным MAC-адресом на запрос ARP для другого IP-адреса для целей проксирования, иногда называют издательский.

Использует

Ниже приведены некоторые типичные варианты использования прокси-ARP:

Присоединение к широковещательной LAN с серийный ссылки (например, набрать номер или VPN соединения).: Предположим, широковещательный домен Ethernet (например, группа станций, подключенных к одному концентратору или коммутатору (VLAN)) с использованием определенного диапазона адресов IPv4 (например, 192.168.0.0/24, где 192.168.0.1 - 192.168.0.127 назначены проводным узлы). Один или несколько узлов - это маршрутизатор доступа прием коммутируемых или VPN-подключений. Маршрутизатор доступа предоставляет IP-адреса коммутируемым узлам в диапазоне 192.168.0.128 - 192.168.0.254; в этом примере предположим, что коммутируемый узел получает IP-адрес 192.168.0.254.

Маршрутизатор доступа использует Proxy ARP, чтобы коммутируемый узел присутствовал в подсети без подключения к Ethernet: сервер доступа «публикует» свой собственный MAC-адрес для 192.168.0.254. Теперь, когда другой узел, подключенный к Ethernet, хочет поговорить с узлом удаленного доступа, он запросит в сети MAC-адрес 192.168.0.254 и найдет MAC-адрес сервера доступа. Следовательно, он будет отправлять свои IP-пакеты на сервер доступа, и сервер доступа будет знать, что нужно передать их конкретному узлу коммутируемого доступа. Таким образом, все коммутируемые узлы выглядят для проводных узлов Ethernet так, как будто они подключены к одной и той же подсети Ethernet.

Получение нескольких адресов из локальной сети: Предположим, что станция (например, сервер) с интерфейсом (10.0.0.2) подключена к сети (10.0.0.0/24). Некоторым приложениям может потребоваться несколько IP-адресов на сервере. Если адреса должны быть из диапазона 10.0.0.0/24, проблема решается с помощью Proxy ARP. Дополнительные адреса (скажем, 10.0.0.230-10.0.0.240) являются псевдоним к петля интерфейс сервера (или назначен специальным интерфейсам, последний обычно бывает с VMware/UML/тюрьмы/всерверы/ другие среды виртуальных серверов) и «опубликовано» в интерфейсе 10.0.0.2 (хотя многие операционные системы позволяют напрямую назначать несколько адресов одному интерфейсу, что устраняет необходимость в таких уловках).

На брандмауэре: В этом сценарии брандмауэр можно настроить с одним IP-адресом. Одним из простых примеров использования этого может быть установка брандмауэра перед отдельным хостом или группой хостов в подсети. Пример. В сети (10.0.0.0/8) есть сервер, который должен быть защищен (10.0.0.20), перед сервером можно разместить брандмауэр proxy-arp. Таким образом, сервер защищен брандмауэром без каких-либо изменений в сети.

Мобильный IP: В случае Мобильный IP домашний агент использует прокси-ARP для получения сообщений от имени мобильного узла, чтобы он мог пересылать соответствующее сообщение на фактический адрес мобильного узла (Адрес для передачи).

Прозрачный шлюз подсети: Настройка, в которой два физических сегмента используют одну и ту же IP-подсеть и соединены друг с другом через маршрутизатор. Это использование описано в RFC 1027.

Резервирование: Методы манипулирования ARP являются основой протоколов, обеспечивающих избыточность в широковещательных сетях (например, Ethernet), в первую очередь Общий протокол резервирования адресов и Протокол резервирования виртуального маршрутизатора.

Недостатки

Недостатки Proxy ARP включают масштабируемость, поскольку разрешение ARP с помощью прокси-сервера требуется для каждого устройства, маршрутизируемого таким образом, и надежность, поскольку отсутствует резервный механизм, а маскировка может сбивать с толку в некоторых средах.

Прокси-ARP может создавать DoS-атаки на сети при неправильной настройке. Например, неправильно настроенный маршрутизатор с прокси-ARP может получать пакеты, предназначенные для других хостов (поскольку он дает свой собственный MAC-адрес в ответ на запросы ARP для других хостов / маршрутизаторов), но может не иметь возможности правильно пересылать эти пакеты. к их конечному пункту назначения, тем самым блокируя движение.

Прокси-ARP может скрыть неправильную конфигурацию устройства, например, отсутствующую или неправильную шлюз по умолчанию.

Реализации

OpenBSD реализует Proxy ARP^[2].

использованная литература

^ Хэл Стерн (10 октября 2001 г.). "Сетевые хитрости ARP". ITworld.
^ Справочная страница arp (8)

дальнейшее чтение

RFC 925 - Разрешение адресов нескольких LAN
RFC 1027 - Использование ARP для реализации прозрачных шлюзов подсети
В. Ричард Стивенс. Протоколы (иллюстрированный TCP / IP, том 1). Эддисон-Уэсли Профессионал; 1-е издание (31 декабря 1993 г.). ISBN 0-201-63346-9

[1] Хэл Стерн (10 октября 2001 г.). "Сетевые хитрости ARP". ITworld.

[2] Справочная страница arp (8)

[1]

[2]

Navigation