ARP代理（ARP Proxy）

ARP 代理1. 路由式 ARP 代理解决同一网段不同物理网络上计算机的互通问题当网关存在被请求 IP 地址的路由时才会以本接口的 MAC 响应 ARP 请求华为设备测试 ARP 请求时无法正常展示所以使用思科设备接口地址正常配置完成后R1 访问 R3R1 会先发送自己的 IP 地址和 MAC 地址以及 R3 的 IP 地址和 R3 的 MAC (00000000) 地址R2 会根据请求的 IP 地址寻找设备R3因为 R2 上开启了 ARP 代理所以R2 发给 R3 的 源MAC 地址会将 R1 的 MAC 地址变成 R2 设备接口f0/0 的MAC地址R3 收到请求之后将自己的 IP 地址和 MAC 地址回应同理在 R2 的时候因为开启了 ARP 代理会将 R3 的 MAC 地址变成 R2 设备接口 f1/0 的 MAC 地址让 R1 误认为 R2 设备 f1/0 接口的 MAC 就是请求的 R3 的 MAC这就是 ARP 代理也称为 ARP 欺骗。一旦关闭 R2 设备上两个接口其中之一此通信就无法成功2. VLAN 内 ARP 代理解决相同 VLAN 内且 VLAN 配置用户隔离后的网络上的计算机互通问题端口隔离只适用于同 VLAN需要将接口加入到隔离组中主要作用是隔离同一 VLAN 内的主机互访如何实现隔离将交换机内的接口放入到一个隔离组中处于相同隔离组中的端口不能互访相同隔离组下的端口不能进行互访不同隔离组下的端口可以互访没有配置隔离组的端口普通端口可以跟所有接口互访端口隔离配置进入接口配置[Huawei-g0/0/1] port-isolate enable group 1 //开启端口隔离并将 g0/0/1 接口加入到隔离组 1 中在 DSLAM 上将两个端口配置端口隔离port-isolate enable group 1LSW1配置接口类型为 access 并允许 vlan 10 通过配置 vlan 内 ARP 代理[Huawei-vlanif10] arp-proxy inner-sub-vlan-proxy enable //启用 vlan 内 ARP 代理VLAN 内 ARP 代理前提被请求的 IP 地址和自己在一个网段自身存在被请求 IP 地址的 ARP 表项3. VLAN 间 ARP 代理解决不同 VLAN 之间对应计算机的三层互通问题使用的是 vlan 聚合帮助子 VLAN 实现链路间的通信创建 vlan 2 3 4其中 vlan 2 3 是子 vlanvlan 4 是聚合vlan聚合 vlan 配置LSW2先配置好两个接口的类型为 access 并允许对应 vlan 通过vlan 4 //聚合 vlan 的编号是 vlan 4Ip address x.x.x.x //添加 IP 地址aggregate-vlan //启用聚合vlanaccess-valn 2 3 //将 vlan 2 3 聚合 vlan 4arp-proxy inter-sub-vlan-proxy enable //开启 vlan 间 ARP 代理PC1测试PC2的连通性PC1 发送自己的 IP 地址和 MAC 地址以及需要访问的 IP 地址和 MAC (00000000) 地址网关查找路由表此时网关启用了 ARP 代理所以使用自己 vlan 4 的 MAC 地址代理 PC1 的 MAC 地址PC2 收到请求之后回应自己的 MAC 地址网关同样的使用自己的 vlan 4 的 MAC 地址代理 PC2 的 MACPC1 收到之后将 PC2 的IP地址 和 网关 vlan 4 的 MAC 存入自己的 ARP 表项中误认为此时的 MAC 就是 PC2 的 MAC同理 PC2 也是。VLAN 间 ARP 代理前提被请求的 IP 地址和自己在一个网段自身存在被请求 IP 地址的 ARP 表项VLAN Mapping 的配置