Прокси-ARP - Proxy ARP

Прокси-ARP бұл берілген желідегі прокси-құрылғы жауап беретін әдіс ARP сұраулары IP мекен-жайы бұл желіде жоқ. Сенім білдірілген адам трафиктің тағайындалатын орнын біледі және өзін ұсынады MAC мекен-жайы (соңғы сияқты) баратын жер ретінде.[1] Прокси-адреске бағытталған трафик, содан кейін, әдетте, прокси арқылы басқа интерфейс арқылы немесе тағайындалған межелі жерге бағытталады. туннель.

Процесс үшін басқа IP-адрес үшін ARP сұранысына түйіннің өзінің MAC-адресімен жауап беруіне әкелетін процесс кейде деп аталады баспа ісі.

Қолданады

Төменде ARP проксиінің кейбір әдеттегі қолданыстары келтірілген:

Таратылатын жергілікті желіге қосылу сериялық сілтемелер (мысалы, теру немесе VPN байланыстар).
Белгілі бір IPv4 мекен-жай диапазонын қолдана отырып (мысалы, бір хабқа немесе коммутаторға (VLAN) қосылған станциялар тобы) Ethernet тарату доменін қабылдаңыз (мысалы, 192.168.0.1 - 192.168.0.127 сымды болып бекітілген) түйіндер). Түйіндердің біреуі немесе бірнешеуі - бұл кіру маршрутизаторы диалогтық немесе VPN байланыстарын қабылдау. Кіру маршрутизаторы 192.168.0.128 - 192.168.0.254 диапазонында IP-адрестерді тереді; осы мысал үшін теру түйіні 192.168.0.254 IP мекенжайын алады деп есептеңіз.
Қатынас маршрутизаторы Ethernet сымына қосылмай ішкі желідегі диалогты түйінді жасау үшін Proxy ARP пайдаланады: қатынау сервері 192.168.0.254 арналған өзінің MAC мекен-жайын «жариялайды». Енді Ethernet желісіне қосылған басқа түйін терілетін түйінмен сөйлескісі келгенде, желіде 192.168.0.254 мекен-жайындағы MAC мекен-жайын сұрайды және кіру серверінің MAC мекен-жайын табады. Сондықтан ол IP-дестелерін қатынасу серверіне жібереді, ал қатынау сервері оларды белгілі бір диалогтық түйінге жіберуді біледі. Сондықтан барлық қосылатын түйіндер сымды Ethernet түйіндеріне бірдей Ethernet ішкі желісіне қосылғандай көрінеді.
Жергілікті желіден бірнеше адрес алу
Интерфейсі (10.0.0.2) желіге қосылған станцияны (мысалы, серверді) қабылдайық (10.0.0.0/24). Кейбір қосымшалар серверде бірнеше IP-мекен-жайларды қажет етуі мүмкін. Егер мекен-жайлар 10.0.0.0/24 диапазонында болуы керек болса, мәселені шешудің жолы Proxy ARP арқылы жүзеге асырылады. Қосымша мекен-жайлар (айталық, 10.0.0.230-10.0.0.240) бүркеншік дейін цикл сервердің интерфейсі (немесе арнайы интерфейстерге тағайындалған, соңғысы әдетте осылай болады) VMware /UML /түрмелер /серверлер / басқа виртуалды сервер орталары) және 10.0.0.2 интерфейсінде «жарияланған» (дегенмен көптеген операциялық жүйелер бірнеше адрестерді бір интерфейске тікелей бөлуге мүмкіндік береді, осылайша мұндай трюктарды қажет етпейді).
Брандмауэрде
Бұл сценарийде брандмауэрді бір IP-мекен-жаймен теңшеуге болады. Мұны пайдаланудың қарапайым мысалының бірі - желі ішіндегі жалғыз хосттың немесе хосттар тобының алдына брандмауэр қою. Мысал - Желіде (10.0.0.0/8) қорғалуы керек сервер бар (10.0.0.20) прокси-arp брандмауэрін сервердің алдына қоюға болады. Осылайша, сервер желіге ешқандай өзгеріс енгізбей брандмауэрдің артына қойылады.
Mobile-IP
Жағдайда Мобильді IP Home Agent ұялы түйіннің атынан хабарламаларды қабылдау үшін нақты ұялы түйіннің мекен-жайына тиісті хабарлама жіберуі үшін Proxy ARP қолданады (Мекен-жайға күтім жасау ).
Мөлдір ішкі шлюз
Бір IP ішкі желісін бөлісетін және a арқылы біріктірілген екі физикалық сегментті қамтитын қондырғы маршрутизатор. Бұл пайдалану құжатталған RFC 1027.
Артықтық
ARP манипуляциясы техникасы протоколдарды ұсынудың негізі болып табылады қысқарту тарату желілерінде (мысалы, Ethernet ), ең бастысы Жалпы мекен-жайларды қысқарту хаттамасы және Виртуалды маршрутизаторды қысқарту хаттамасы.

Кемшіліктері

Прокси ARP-нің кемшілігіне масштабтылық кіреді, өйткені прокси арқылы ARP шешімі осы жолмен жіберілген барлық құрылғылар үшін қажет, және ешқандай кері механизм жоқ болғандықтан, маскировка кейбір ортада түсініксіз болуы мүмкін.

Прокси ARP дұрыс конфигурацияланбаған жағдайда желілерде DoS шабуылдарын жасай алады. Мысалы, прокси-ARP-мен қате конфигурацияланған маршрутизатор басқа хосттарға арналған пакеттерді қабылдау мүмкіндігіне ие (өйткені ол басқа хост / маршрутизаторларға арналған ARP сұраныстарына жауап ретінде өзінің MAC мекен-жайын береді), бірақ бұл пакеттерді дұрыс бағыттау мүмкіндігі болмауы мүмкін ақырғы межелі жерге, осылайша трафикті қара жолмен.

Proxy ARP құрылғының дұрыс емес конфигурацияларын жасыра алады, мысалы, жоқ немесе дұрыс емес әдепкі шлюз.

Іске асыру

OpenBSD прокси-ARP іске асырады[2].

Әдебиеттер тізімі

  1. ^ Халь Штерн (10 қазан 2001). «ARP желілік трюктері». ITworld.
  2. ^ arp (8) адам беті

Әрі қарай оқу

  • RFC 925 - Бірнеше жергілікті желі адресінің шешімі
  • RFC 1027 - мөлдір ішкі желі шлюздерін енгізу үшін ARP қолдану
  • Ричард Стивенс. Хаттамалар (TCP / IP суретті, 1 том). Аддисон-Уэсли кәсіби; 1-ші басылым (31 желтоқсан 1993 ж.). ISBN  0-201-63346-9