Proxy ARP ccnp_cch ccnp_cch
Sommaire • Introduction • Comment fonctionne Proxy ARP? - Prérequis - Composants utilisés • Comment fonctionne Proxy ARP? - Schéma du réseau • Avantages de Proxy ARP • Désavantages de Proxy ARP ccnp_cch
Introduction ccnp_cch Ce document explique le concept de Proxy ARP (Address Resolution Protocol). Proxy ARP est la technique avec laquelle un host, usuellement un routeur, répond aux requêtes ARP destinées à une autre machine. En "usurpant" l'identité, le routeur accepte la res- ponsabilité de router les paquets vers la destination réelle. Proxy ARP peut aider les ma- chines d'un sous-réseau d'atteindre des machines d'un autre sous-réseau sans avoir de routage configuré ou de passerelle par défaut. Proxy ARP est défini par le RFC 1027. Prérequis Ce document requiert une compréhension d'ARP et de l'environnement Ethernet. Composants utilisés Les informations de ce document sont basées sur les versions logicielles et matérielles suivantes: ● Cisco IOS Release 12.2(10b) ● Routeurs Cisco 2500 Comment fonctionne Proxy ARP? Voici un exemple du fonctionnement d'ARP. Schéma du réseau Host A Host B 172.16.10.100/16 00-00-0c-94-36-aa 172.16.10.200/24 00-00-0c-94-36-bb Sous-réseau A E0 172.16.10.99/24 00-00-0c-94-36-ab E0 172.16.20.99/24 00-00-0c-94-36-cd Sous-réseau B 172.16.20.200/24 00-00-0c-94-36-dd 172.16.20.100/24 00-00-0c-94-36-cc Host C Host D ccnp_cch
Le host A (172.16.10.100) du sous-réseau A a besoin de transmettre des paquets au host D (172.16.20.200) sur le sous-réseau B. Comme le montre le schéma page précé- dente, le host A a un masque de sous-réseau /16. Que cela signifie-t-il si le host A croit qu'il est connecté à tous les hosts du sous-réseau 172.16.0.0? Quand le host A a be- soin de communiquer avec des équipements, il croit qu'ils sont directement connectés et il transmet un paquet ARP vers la destination. Par conséquent quand le host A a be- soin de transmettre un paquet vers le host D, le host A croit que le host D est directe- ment connecté et transmet une requête ARP vers le host D. Pour joindre le host D (172.16.20.200), le host A a besoin de l'adresse MAC du host D. Par conséquent, le host A broadcast une requête ARP sur le sous-réseau A comme suit: Adresse MAC Emetteur Adresse IP Adresse MAC cible Adresse IP cible 00-00-0c-94-36-aa 172.16.10.100 00-00-00-00-00-00 172.16.20.200 Dans la requête ARP ci-dessus, le host A (172.16.10.100) demande au host D (172.16. 20.200) de transmettre son adresse MAC. La requête ARP est ensuite encapsulée dans avec l'adresse MAC destination "FFFF FFFF FFFF". Comme la requête ARP est un broadcast, elle atteint tous les nœuds du sous-réseau A y compris l'interface E0 du rou- teur mais n'atteint pas le host D. Le broadcast n'atteint pas le host D car par défaut les routeurs n'acheminent pas les broadcasts. Comme le routeur sait que l'adresse cible (172.16.20.200) est sur un autre sous-réseau et qu'il peut joindre le host D, celui-ci va répondre avec sa propre adresse MAC au host A. Adresse MAC Emetteur Adresse IP Adresse MAC cible Adresse IP cible 00-00-0c-94-36-ab 172.16.20.200 00-00-0c-94-36-aa 172.16.10.100 La réponse ARP ci-dessus est celle que le routeur transmet au host A. Le paquet de ré- ponse ARP est encapsulé dans une trame ethernet avec l'adresse MAC source du rou- teur et l'adresse MAC du host A comme adresse destination. Les réponses ARP sont toujours transmises en unicast vers la source de la requête. En recevant cette réponse ARP, le host A met à jour sa table ARP. Adresse IP Adresse MAC 172.16.20.200 00-00-0c-94-36-ab ccnp_cch
A partir de maintenant, le host A acheminera tous les paquets qu'il veut transmettre au host D (172.16.20.200) vers l'adresse MAC 00-00-0c-94-36-ab (routeur). Comme le rou- teur sait comment joindre le host D, le routeur acheminera les paquets. Le cache ARP des hosts du sous-réseau A est rempli avec l'adresse MAC du routeur pour tous les hosts du sous-réseau B. Par conséquent tous les paquets destinés au sous-réseau B sont transmis au routeur. Le routeur achemine ces paquets vers les hosts du sous-ré- seau B. Voici le cache ARP du host A: Adresse IP Adresse MAC 172.16.20.200 00-00-0c-94-36-ab 172.16.20.100 172.16.10.99 172.16.10.200 00-00-0c-94-36-bb Note: Plusieurs adresses IP mappées avec une seule adresse MAC (adresse MAC du rou- teur) indiquent qu'un proxy ARP est utilisé. L'interface du routeur Cisco doit être configurée pour accepter et répondre en proxy ARP. Ceci est validé par défaut. Proxy ARP peut être dévalidé par interface en utilisant la commande no ip proxy-arp en mode de configuration interface. Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# interface ethernet 0 Router(config−if)# no ip proxy−arp Router(config−if)# ^Z Router# Pour valider proxy ARP sur une interface, utilisez la commande ip proxy-arp en mode de configuration interface. Note: Quand le host B (172.16.10.200/24) sur le sous-réseau A essaie de transmettre des paquets à destination du host D (172.16.20.200) sur le sous-réseau b, il cherchera dans sa table de routage IP et routera en conséquence. Le host B ne transmettra pas d'ARP pour pour le host D à l'adresse 172.16.20.200. car il appartient à un autre sous- réseau que celui configuré sur le host B (172.16.10.200/24). ccnp_cch
Avantages de Proxy ARP ccnp_cch L'avantage principal de l'utilisation de Proxy ARP est qu'il peut être ajouté sur un seul routeur du réseau sans perturber les tables de routage des autres routeurs du réseau. Proxy ARP doit être configuré sur un réseau dans lequel les hosts IP n'ont pas de passe- relle par défaut configurée ou n'ont aucune intelligence de routage. Désavantages de Proxy ARP Les hosts n'ont pas conscience de la topologie physique du réseau et ils supposent être dans un réseau plat dans lequel ils peuvent joindre toute destination en transmettant simplement une requête ARP. Utiliser ARP pour tout a quelques désavantages. En voici quelques uns. ● Accroît le volume de trafic ARP sur le segment. ● Les hosts ont besoin de tables ARP plus importantes pour gérer la correspondance @IP-@MAC. ● La sécurité peut être affaiblie. Une machine peut déclarer en être une autre dans le but d'intercepter les paquets et réaliser ce qui est appelé "spoofing". ● Ne fonctionne pas pour les réseaux qui n'utilisent pas ARP pour la résolution d'adres- se. ● Ne peut pas être généralisé à toutes les topologies de réseaux (par exemple plusieurs routeurs connectés à deux réseaux physiques). ccnp_cch