啥是ARP？啥又是Proxy ARP？

ARP是用来将 IP 地址解析为 MAC 地址的协议。 ARP 表项可以分为动态和静态两种类型。动态 ARP ，是利用 ARP 广播报文，
动态执行并自动进行 IP 地址到以太网 MAC 地址的解析，无需网络管理员手工处理。静态 ARP 是建立 lP 地址和 MAC 地址之间固定的映射关系，
在主机和路由器上不能动态调整此映射关系，需要网络管理员手工添加。设备上有一个 ARP 高速缓存（ ARP cache ) ，
用来存放 lP 地址到 MAC 地址的映射表，利用 ARP 请求和应答报文来缓存映射表，以便能正确地把三层数据包封装成二层数据帧，
达到快速封装数据帧、正确转发数据的目的。另外 ARP 还有扩展应用功能，比如 ProxyA 即功能。 Proxy ARP ，即代理 ARP ，
当主机上没有配置默认网关地址（即不知道如何到达本地网络的网关设备），可以发送一个广播 ARP 请求（请求目的主机的 MAC 地址），
使具备 Proxy ARP 功能的路由器收到这样的请求后，在确认请求地址可达后，会使用自身的 MAC 地址作为该 ARP 请求的回应，
使得处于不同物理网络的同一网段的主机之间可以正常通信。

接下来开始实验本实验模拟公司网络场景。路由器 R1 是公司的出口网关，连接到外网。公司内所有员工使用 10 . 1 . 0 . 0 / 16 网段， 通过交换机连接到网关路由器上。网络管理员通过配置静态 A 即防止 ARP 欺骗攻击，保证通信安全。 又由于公司内所有主机都没有配置网关，且分属于不同广播域，造成无法正常通信，网络管理员需要通过在路由器上配置 A 即代理功能，实现网络内所有主机的通信。

实验拓扑图

实验配置

接下来我们看一下主机的ARP表，目前这个表是空的

我们再来看一下路由器的表，表里装了刚才我们设置的两个网关端口

测试连通性，都测一下

刚开始，路由器的ARP表中并没有目标IP地址与目标MAC地址的对应表项，但当ping完之后就会有了，我们再查看一下路由表

下面我们模拟一下当发生ARP攻击时，我们该如何操作（ARP攻击是攻击者向网关发送错误的ARP报文导致正常的主机无法使用服务）

我们使用命令在路由器上静态添加一条关于PC1的错误的ARP映射。（模拟黑客攻击）

我们再看一下路由表已经变了

我们看看这个时候pc1还能不能ping通网关了（这个时候我们已经ping不通网关了）

因为ARP映射了错误的物理地址，我们来抓一下包，可以看到，当pc1发送ping请求时，回去的包，网关发送到了错误的地方

ARP攻击不仅会影响我们网关ARP表的正确性，还会感染其他路由的ARP表，那我们该如何应对这种攻击手段？

我们可以在路由器上设置静态ARP表，如果ip和一个MAC地址的静态映射已经出现在ARP表中，此时动态ARP方式雪莱的映射则无法进入ARP表中

删除掉错误的

绑定正确的

我们在测试一下连通性，连通性恢复正常

当然这种方法的优点是操作简单，但是它的缺点是必须使网络中的设备都在ARP表中，工作量太大，那我们该怎么办呢？

静态ARP不行，Proxy ARP（ARP代理）便出现了

还拿公司举例子，目前公司的网络被路由器R1分割成两个独立的广播域，每个路由器接口对应一个IP网络，分别使10.1.1.0/24和10.1.2.0/24

我们来查看一下R1的路由表

我们可以拿pc2pingpc3

ping不通，那我们抓个包来看一看，可以看到，pc2发的是广播包，可是广播包是过不了路由器的

但是我们如果给R1开启ARP代理呢？我们来开启ARP代理

我们再来用pc2ping一下pc3，抓一下包观察

我们看一下PC2中arp存的是谁的地址

但是这却与实际是不相符的，它存下的是网关10.1.1.254的mac地址

同时我发现pc2能ping通pc3，pc3却ping不通pc2

因为，开启ARP代理后，访问过程是这样的。R1接口收到pc2的ARP广播请求，R1根据目标IP地址查看自身路由表中是否有对应的网络，找到

对应的网络，所以R1直接把自身的GE0/0/1接口的mac地址返回给了PC2，PC2便使用接收到的MAC地址作为目标地址发送给R1，R1收到后再

转发给PC3，同理PC3要想也访问PC2，也需要在R1的GE0/0/2接口上开启ARP代理服务。

这个时候PC3已经能够ping通PC2了

记得save