(3)
防止VRRP虚拟IP地址冲突
当网络中存在VRRP备份组时,需要由VRRP备份组的Master路由器周期性的向网络内的主机发送免费ARP报文,使主机更新本地ARP地址表,确保网络中不会存在与VRRP虚拟IP地址相同的设备。
由于用户可以设定VRRP虚拟IP地址和MAC地址对应关系,因此有以下两种情况:
?
如果当前VRRP虚拟IP地址和虚拟MAC地址对应,则免费ARP报文中的源MAC地址为VRRP虚拟路由器对应的虚拟MAC地址。
?
如果当前VRRP虚拟IP地址和实际MAC地址对应,则免费ARP报文中的源MAC地址为VRRP备份组中Master路由器接口的MAC地址。
(4)
及时更新模糊终结VLAN内设备的MAC地址表
三层以太网子接口上同时配置了模糊终结多个VLAN和VRRP备份组时,为了避免发送过多的VRRP通告报文,需要关闭VLAN终结支持广播/组播功能,并配置VRRP控制VLAN。此时,为了及时更新各个模糊终结VLAN内设备的MAC地址表项,可以在三层以太网子接口上使能定时发送免费ARP功能。使能该功能后,三层以太网子接口将按照配置的时间间隔周期性发送VRRP虚拟IP地址、接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,当VRRP主备状态切换时,各个模糊终结VLAN内设备上可以及时更新为正确的MAC地址表项。
代理ARP
如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。
代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。
代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:
?
普通代理ARP的应用环境为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。
?
本地代理ARP的应用环境为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。
普通代理ARP
处于同一网段内的主机,当连接到设备的不同三层接口时,可以利用设备的代理ARP功能,通过三层转发实现互通。
代理ARP的典型应用环境如图3-1所示。设备Router通过两个三层接口Ethernet1/1和Ethernet1/2连接两个网络,两个三层接口的IP地址不在同一个网段,接口地址分别为192.168.10.99/24、192.168.20.99/24。但是两个网络内的主机Host A和Host B的地址通过掩码的控制,既与相连设备的接口地址在同一网段,同时二者也处于同一个网段。
图 3 普通代理ARP的应用环境
在这种组网情况下,当Host A需要与Host B通信时,由于目的IP地址与本机的IP地址为同一网段,因此Host A会直接发出请求Host B硬件地址的ARP请求。但是,此时的两台主机处于不同的广播域中,Host B无法收到Host A的ARP请求报文,当然也就无法应答。
通过在Router上启用代理ARP功能,可以解决此问题。启用代理ARP后,Router可以应答Host A的ARP请求。同时,Router相当于Host B的代理,把从其他主机发送过来的报文转发给它。
代理ARP的优点是,它可以只被应用在一个设备上(此时该设备的作用相当于网关),不会影响到网络中其他设备的路由表。代理ARP功能可以在IP主机没有配置缺省网关或者IP主机没有任何路由能力的情况下使用。
本地代理ARP
本地代理ARP的应用场景如图3-2所示。Host A和Host B属于同一个VLAN 2,但它们分别连接到被二层隔离的端口Ethernet1/3和Ethernet1/1上,通过在Router上启用本地代理ARP功能,可以实现Host A和Host B的三层互通。
图 4 本地代理ARP的应用环境
本地代理ARP可以在下列三种情况下实现主机之间的三层互通:
?
想要互通的主机分别连接到同一个VLAN中的不同二层隔离端口下;
?
使能Super VLAN功能后,想要互通的主机属于不同的Sub VLAN;
?
使能Isolate-user-vlan功能后,想要互通的主机属于不同的Secondary VLAN。
ARP Snooping
ARP Snooping作用
ARP Snooping功能是一个用于二层交换网络环境的特性,通过侦听ARP报文建立ARP Snooping表项,从而提供给ARP快速应答和MFF手动方式等使用。
ARP Snooping工作机制
设备上的一个VLAN使能ARP Snooping后,该VLAN内所有端口接收的ARP报文会被重定向到CPU。CPU对重定向上送的ARP报文进行分析,获取ARP报文的源IP地址、源MAC地址、源VLAN和入端口信息,建立记录用户信息的ARP Snooping表项。
ARP Snooping表项的老化时间为25分钟,有效时间为15分钟。如果一个ARP Snooping表项自最后一次更新后15分钟内没有收到ARP更新报文,则此表项开始进入失效状态,不再对外提供服务,其他特性查找此表项将会失败。当收到源IP地址和源MAC与已存在的ARP Snooping表项IP地址和MAC均相同的ARP报文时,此ARP Snooping表项进行更新,重新开始生效,并重新老化计时。当ARP Snooping表项达到老化时间后,则将此ARP Snooping表项删除。
如果ARP Snooping收到ARP报文时检查到相同IP的ARP Snooping表项已经存在,但是MAC地址发生了变化,则认为发生了攻击,此时ARP Snooping表项处于冲突状态,表项失效,不再对外提供服务,并在25分钟后删除此表项。
ARP快速应答
ARP快速应答作用
在无线产品组网中,AC与AP会建立隧道连接,Client通过AP连接到AC,通过AC,Client可以与网关建立连接。当Client发起ARP广播请求时,需要通过AC向所有的AP复制ARP请求,这样会导致ARP广播占用隧道的大量资源,导致性能下降。为了减少ARP广播占用的隧道资源,可以在AC上启用ARP快速应答功能,减少ARP广播报文的影响。
ARP快速应答功能就是根据AC设备收集的用户信息(用户信息可以是DHCP Snooping表项,也可以是ARP Snooping表项),在指定的VLAN内,尽可能的对ARP请求进行应答,从而减少ARP广播报文。
ARP快速应答工作机制
ARP快速应答的工作机制如下:
(1)
设备接收到ARP请求报文时,如果请求报文的目的IP地址是设备的VLAN虚接口的IP地址,则由ARP特性进行处理;
(2)
如果ARP请求报文的目的IP地址不是VLAN虚接口的IP地址,则根据报文中的目的IP地址查找DHCP Snooping表项:
?
如果查找成功,但是查找到的表项的接口和收到请求报文的接口一致,并且接口是以太网接口,则不进行应答,否则立即进行应答。
?
如果查找失败,则继续查找ARP Snooping表项,如果查找成功,但是查找到的表项的接口和收到请求报文的接口一致,并且接口是以太网接口,则不进行应答,否则立即进行应答。
?
如果两个表均查找失败,则直接转发请求报文或将报文交于其他特性处理。 |
