Translate

sábado, 3 de agosto de 2013

Proxy ARP

A opção de Proxy arp está activa por defeito nos routers Cisco. Para desactivar esta opção basta fazer no contexto do interface do gateway: "no ip proxy-arp".

Isto permite que um PC de origem, sem "default-gateway" configurado, possa chegar a um PC de destino noutra rede.

Assim, tendo com base o laboratório abaixo, que consiste em 2 routers que se comportam como PCs (ie, têm desactivada a opção de routing (no ip routing) e um router que faz de gateway, pretende-se pingar o PC_LAN2 a partir do PC_LAN1:




Cenário 1:

- PC_LAN1 configurado com "default-gateway" (172.16.1.254);
- Router configurado sem proxy arp no interface fa0/0 ("no ip proxy-arp");
- Fazer "clear arp-cache" para apagar a cache ARP no PC de origem (172.16.1.1);
- Pingar o PC de destino (192.168.1.1);
- Ver a tabela ARP, com "show arp":

PC_LAN1#show  arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  172.16.1.254            0   c806.08b4.0000  ARPA   FastEthernet0/0
Internet  172.16.1.1              -   c803.08b4.0000  ARPA   FastEthernet0/0

Resultado: O mapeamento que o PC_LAN1 irá registar na sua ARP table, é o mac-address do Fa0/0 do Router associado ao respectivo IP.

Cenário 2:

- PC_LAN1 configurado sem "default-gateway";
- Router configurado com proxy arp no interface fa0/0 ("ip proxy-arp");
- Fazer "clear arp-cache" para apagar a cache ARP no PC de origem (172.16.1.1);
- Pingar o PC de destino (192.168.1.1);
- Ver a tabela ARP, com "show arp":

PC_LAN1#sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.1.1             0   c806.08b4.0000  ARPA   FastEthernet0/0
Internet  172.16.1.1              -   c803.08b4.0000  ARPA   FastEthernet0/0

Resultado: O O mapeamento que o PC_LAN1 irá registar na sua ARP table, é o mac-address do Fa0/0 do Router associado ao IP de destino !!!


Conclusão:

Quando o PC_LAN1 faz um "arp-request" (ie, pede o MAC associado ao IP de destino), envia um broadcast para toda a rede LAN1. Como o Router "conhece" o PC_LAN2 (porque está ligado a ele), responde ao "arp-request" do PC_LAN1, com o Mac address dele próprio (Router).

Assim, para o PC_LAN1, o mac-address do PC_LAN2 é o mac-address do fa0/0 do Router quando a opção "proxy arp" está configurada.

Vantagens de Proxy-ARP:

- Permitir aos PCs clientes "descobrir" os PCs de destino sem estarem configurados correctamente a nível de máscara e gateway;

Desvantagens de Proxy-ARP:

- Aumento de tráfego ARP na rede local;
- Aumento da tabela ARP nas máquinas cliente;
- Aumento de risco de "spoofing";





Publicada por à(s) Sem comentários:
Subscrever: Mensagens (Atom)