Прокси-ARP - это метод, с помощью которого прокси-сервер в данной сети отвечает на запросы протокола разрешения адресов (ARP) для IP-адреса , которого нет в этой сети. Прокси-сервер знает о местонахождении места назначения трафика и предлагает свой собственный MAC-адрес в качестве (якобы конечного) места назначения. [1] Трафик, направляемый на прокси-адрес, затем обычно направляется прокси-сервером в намеченное место назначения через другой интерфейс или через туннель .
Процесс, в результате которого прокси-сервер отвечает своим собственным MAC-адресом на запрос ARP для другого IP-адреса для целей проксирования, иногда называется публикацией .
Использует
Ниже приведены некоторые типичные варианты использования прокси-ARP:
- Присоединение к широковещательной ЛВС с помощью последовательных каналов (например, коммутируемое соединение или VPN- соединения).
- Предположим, широковещательный домен Ethernet (например, группа станций, подключенных к одному концентратору или коммутатору (VLAN)) с использованием определенного диапазона адресов IPv4 (например, 192.168.0.0/24, где 192.168.0.1 - 192.168.0.127 назначены проводным узлы). Один или несколько узлов - это маршрутизатор доступа, принимающий коммутируемые или VPN-соединения. Маршрутизатор доступа предоставляет IP-адреса коммутируемым узлам в диапазоне 192.168.0.128 - 192.168.0.254; в этом примере предположим, что коммутируемый узел получает IP-адрес 192.168.0.254.
- Маршрутизатор доступа использует Proxy ARP, чтобы коммутируемый узел присутствовал в подсети без подключения к Ethernet: сервер доступа «публикует» свой собственный MAC-адрес для 192.168.0.254. Теперь, когда другой узел, подключенный к Ethernet, хочет поговорить с коммутируемым узлом, он запросит в сети MAC-адрес 192.168.0.254 и найдет MAC-адрес сервера доступа. Поэтому он будет отправлять свои IP-пакеты на сервер доступа, и сервер доступа будет знать, что нужно передать их конкретному узлу коммутируемого доступа. Таким образом, все коммутируемые узлы выглядят для проводных узлов Ethernet так, как будто они подключены к одной и той же подсети Ethernet.
- Получение нескольких адресов из локальной сети
- Предположим, что станция (например, сервер) с интерфейсом (10.0.0.2) подключена к сети (10.0.0.0/24). Некоторым приложениям может потребоваться несколько IP-адресов на сервере. Если адреса должны быть из диапазона 10.0.0.0/24, проблема решается с помощью Proxy ARP. Дополнительные адреса (например, 10.0.0.230-10.0.0.240) являются псевдонимами к кольцевой проверки интерфейса сервера (или назначены специальные интерфейсы, причем последний , как правило , быть в случае с VMware / UML / остроги / vservers / другие виртуальные серверные среды) и «опубликовано» в интерфейсе 10.0.0.2 (хотя многие операционные системы позволяют напрямую назначать несколько адресов одному интерфейсу, что устраняет необходимость в таких уловках).
- На брандмауэре
- В этом сценарии брандмауэр можно настроить с одним IP-адресом. Одним из простых примеров использования этого может быть размещение брандмауэра перед отдельным хостом или группой хостов в подсети. Пример. В сети (10.0.0.0/8) есть сервер, который должен быть защищен (10.0.0.20), перед сервером можно разместить брандмауэр proxy-arp. Таким образом, сервер защищен брандмауэром без каких-либо изменений в сети.
- Мобильный IP
- В случае Mobile-IP домашний агент использует Proxy ARP для получения сообщений от имени Mobile Node, чтобы он мог пересылать соответствующее сообщение на фактический адрес мобильного узла ( Care-of address ).
- Прозрачный шлюз подсети
- Настройка, в которой два физических сегмента используют одну и ту же IP-подсеть и соединяются вместе через маршрутизатор . Это использование задокументировано в RFC 1027.
- Резервирование
- Методы манипулирования ARP являются основой для протоколов, обеспечивающих избыточность в широковещательных сетях (например, Ethernet ), в первую очередь Common Address Redundancy Protocol и Virtual Router Redundancy Protocol .
Недостатки
Недостатки Proxy ARP включают масштабируемость, поскольку разрешение ARP с помощью прокси-сервера требуется для каждого устройства, маршрутизируемого таким образом, и надежность, поскольку отсутствует резервный механизм, а маскировка может сбивать с толку в некоторых средах.
Прокси-ARP может создавать DoS-атаки на сети при неправильной настройке. Например, неправильно настроенный маршрутизатор с прокси-ARP может принимать пакеты, предназначенные для других хостов (поскольку он дает свой собственный MAC-адрес в ответ на запросы ARP для других хостов / маршрутизаторов), но может не иметь возможности правильно пересылать эти пакеты. к их конечному пункту назначения, тем самым блокируя движение транспорта.
Прокси-ARP может скрыть неправильную конфигурацию устройства, например, отсутствующий или неправильный шлюз по умолчанию .
Реализации
Рекомендации
- ↑ Хэл Стерн (10 октября 2001 г.). «Сетевые хитрости ARP» . ITworld.
- ^ arp (8) справочная страница
дальнейшее чтение
- RFC 925 - разрешение адресов в нескольких локальных сетях
- RFC 1027 - Использование ARP для реализации прозрачных шлюзов подсети
- В. Ричард Стивенс . Протоколы (иллюстрированный TCP / IP, том 1). Эддисон-Уэсли Профессионал; 1-е издание (31 декабря 1993 г.). ISBN 0-201-63346-9