一、什么是ARP代理

?ARP原理是在同一網(wǎng)段下，發(fā)送廣播請求單播回應(yīng)，實(shí)現(xiàn)通信，在不同網(wǎng)段的時候，通常需要請求網(wǎng)關(guān)查詢目標(biāo)MAC地址從而實(shí)現(xiàn)通信。所以，就會出現(xiàn)占用網(wǎng)關(guān)資源表的問題。從而降低轉(zhuǎn)發(fā)效率。在這種情況下，讓兩臺主機(jī)之間中介成為ARP代理，避免這一問題

二、ARP代理的條件

1. 路由器上有到達(dá)對方的條目

2. 華為設(shè)備開啟ARP代理功能

三、如何實(shí)現(xiàn)ARP代理

以主機(jī)A請求主機(jī)B為例：

1、主機(jī)A發(fā)送arp廣播報文，請求主機(jī)B MAC地址。

2、PE1收到廣播請求后，首先判斷自己是不是目標(biāo)MAC地址（發(fā)現(xiàn)不是，則查找到達(dá)目標(biāo)MAC的路徑）

3、如果發(fā)現(xiàn)有到達(dá)目標(biāo)MAC的路由，則查詢是否開啟ARP代理：如果發(fā)現(xiàn)開啟了ARP代理，則將自己接口的MAC地址發(fā)送給主機(jī)A；如果發(fā)現(xiàn)沒有開啟，則丟棄該報文。

4、如果沒有收到主機(jī)B的路由，則丟棄報文。

5、收到報文后，單播回應(yīng)給主機(jī)A。

（一）路由ARP代理（下文將詳細(xì)講述ARP路由式代理）

（二）同一VLAN下的ARP代理

實(shí)現(xiàn)同一網(wǎng)段同個vlan間的三層訪問。當(dāng)我們訪問同一網(wǎng)段主機(jī)時，是不會向網(wǎng)關(guān)發(fā)出請求的，而是先通過廣播arp包來尋找對方的mac地址，然后再根據(jù)mac地址來進(jìn)行二層的訪問只有訪問不同網(wǎng)段主機(jī)時，才會請求網(wǎng)關(guān)，接著網(wǎng)關(guān)網(wǎng)關(guān)查找自己的路由表，如果發(fā)現(xiàn)有到達(dá)目的網(wǎng)路的路由，則用自己的mac地址做回應(yīng)，因?yàn)槎恿髁吭谌龑永锩媸潜桓綦x的。

（三）不同VLAN下的ARP代理

1. HostA (VLAN3)希望與另一主機(jī)HostB (VLAN2)之間通信，HostA直接發(fā)送了 ARP請求，請求內(nèi)容包括:源IP、源MAC、VLANtag標(biāo)簽、目的IP ;

2. 運(yùn)行代理ARP的裝置收到ARP請求后，查找本地ARP緩存列表，如果找到對應(yīng)的表項(xiàng)(包括HostB的IP、MAC)則代理ARP立即回應(yīng)HostA關(guān)于去目的HostB的相關(guān)信息；如果沒找到對應(yīng)的表項(xiàng)，代理ARP會預(yù)先將不同VLAN間的不同網(wǎng)段緩存至列表中；

3. 當(dāng)收到源地址去往某個網(wǎng)段的幀時查找代理ARP緩存列表中的網(wǎng)段，然后將此數(shù)據(jù)包在對應(yīng)的VLAN區(qū)域內(nèi)廣播(避免全網(wǎng)廣播導(dǎo)致全網(wǎng)效率降低，加快請求回應(yīng)速率)；

4. HostB在收到廣播后，回應(yīng)ARP響應(yīng)，通告自己的MAC地址，代理ARP裝置收到ARP請求后向HostA通告HostB的MAC。

四、路由式ARP代理實(shí)驗(yàn)

（一）實(shí)驗(yàn)拓?fù)?/strong>

（二）實(shí)驗(yàn)要求

PC1和PC2屬于同一網(wǎng)段，需要PC1可以與PC2互通，

（三）實(shí)驗(yàn)過程

1、配置IP地址，檢驗(yàn)直連的連通性

[R1-GigabitEthernet0/0/0]ip add 10.1.10.3 24

[R1-GigabitEthernet0/0/1]ip add 10.1.20.3 24

PC1不能ping通PC2，抓包發(fā)現(xiàn)PC1沒有去往PC2的路徑，進(jìn)行ARP廣播

2、在R1的接口上開啟ARP代理

[R1-GigabitEthernet0/0/0]arp-proxy enable

[R1-GigabitEthernet0/0/1]arp-proxy enable

3、在PC1上ping PC2進(jìn)行驗(yàn)證

（四）實(shí)驗(yàn)分析

在PC1上 ping PC2，發(fā)現(xiàn)跟自己的同一網(wǎng)段，PC會通過IGMP發(fā)送一個回顯請求給對方，進(jìn)行二層封裝，發(fā)現(xiàn)不知道 PC2的mac地址，查找本地ARP緩存表，發(fā)現(xiàn)為空，于是發(fā)起ARP請求。

但是由于PC1跟PC2屬于同一網(wǎng)段，不同廣播域，路由器是不會轉(zhuǎn)發(fā)廣播包的，所以PC2是收不到該ARP請求的，所以就不能進(jìn)行互訪，這樣就可以在路由器上配置ARP代理，當(dāng)路由器收到ARP請求之后，會將自己接收端口的MAC地址發(fā)送給PC1，讓PC1誤認(rèn)為路由器接口的mac地址就是PC2的mac地址，之后的所有封裝都會以此MAC作為目的MAC進(jìn)行封裝，這樣路由器就可以識別了。

Hardware address 的值就是接口的Mac地址

發(fā)現(xiàn)與上圖中ARP應(yīng)答的Mac地址相同

路由器收到該比特流后，進(jìn)行逐層階層，解封二層數(shù)據(jù)幀，發(fā)現(xiàn)目的MAC為自己，接收。繼續(xù)解封三層數(shù)據(jù)包，發(fā)現(xiàn)目的ip不是自己，然后路由器根據(jù)目的IP進(jìn)行查表。根據(jù)到達(dá)目的IP下一跳的出接口進(jìn)行轉(zhuǎn)發(fā)，三層封裝不變，并將源MAC地址封裝為該出接口的MAC地址，但是發(fā)現(xiàn)不知道目的IP的MAC，無法進(jìn)行二層封裝，于是對IP 10.1.20.2發(fā)起ARP請求。

得到MAC地址之后，將重新封裝好的數(shù)據(jù)發(fā)送給PC 2

G0/0/1的Mac地址為00e0-fc91-429e

PC2收到ICMP回顯請求之后，會回復(fù)一個回顯應(yīng)答給PC1

源MAC為自己，目的MAC路由器接口MAC

五、路由式ARP代理特點(diǎn)

1. proxy ARP部署在網(wǎng)關(guān)上，網(wǎng)絡(luò)中的主機(jī)不必做任何改動

2. Proxy ARP可以隱藏物理網(wǎng)絡(luò)細(xì)節(jié)，使兩個物理網(wǎng)絡(luò)可以使用同一個網(wǎng)絡(luò)號

3. Proxy ARP只影響主機(jī)的ARP表，對網(wǎng)關(guān)的ARP表和路由表沒有影響