ARP в Cisco IOS

На практике нам ARP придётся посмотреть на цисках. Здесь короткий модуль, буквально два слайда, потому что ARP — это протокол, который, как правило, просто работает. Он проблем не причиняет, настраивать его специально не нужно. Единственное, что может пригодиться — это настройка статической записи. И то это экстремально редкая задача, даже не сильно нужная. Если только вы хотите поиздеваться над каким-то другом, который не сможет понять, почему у вас внезапно сервер неработоспособен с какого-нибудь узла — возьмите и сделайте статическую запись на неправильный MAC. На хороший IP-адрес, но MAC будет неправильный. И я уверяю вас, что если человек не проходил соответствующую подготовку, то такое западло ему будет обнаружить очень тяжело. Вот как он должен будет это траблшутить. Первым делом можно посмотреть список всех IP-адресов,

которые резолвились по протоколу ARP в MAC-адреса. Show IP ARP на Cisco даст вам список всех IP-адресов и соответствующих им MAC-адресов. В колонке Address показывается IP-адрес, в колонке Hardware показывается MAC, и колонка Age показывает, как давно вы про этот MAC в последний раз по протоколу ARP что-нибудь слышали. Что касается срока жизни на Cisco — по-моему, как раз 4 часа. Это срок жизни записи в кэше ARP. В большинстве операционных систем это намного меньше: 5 минут, 10 минут, 20 минут — вот такого порядка. Дальше. Если вы хотите решить какую-то проблему, чаще всего вы хотите не смотреть весь список show IP ARP, тем более что он может быть и чаще всего будет достаточно обширный.

Вы хотите, как правило, решить проблему с каким-то одним адресом, который вызывает у вас проблемы. Show IP ARP с указанием определённого IP-адреса — система отфильтрует вам вывод только для этого адреса. Чаще всего именно это и нужно. Вы предполагаете, что с 10.0.1.1 может быть какая-то проблема. Вы выполняете show IP ARP 10.0.1.1, и вам показывается вывод: такому-то IP-адресу соответствует такой-то MAC-адрес, зарезолвлен был такое-то время назад, доступен через такой-то интерфейс. Можно в обратную сторону отфильтровать — указать, что вас интересует запись, которая соответствует определённому MAC. Но это по сути обычный grep, который работает. Можно посмотреть все записи, которые известны через определённый интерфейс. И да, если вы хотите добавить запись вручную, есть немного необычный момент. Вы добавляете статическую запись, указывая команду ARP,

дальше IP-адрес, потом MAC-адрес, и указываете тип записи ARPA. Тут всегда будет ARPA, здесь ничего другого писать не нужно. Но вы не указываете интерфейс — система автоматически поймёт, на какой интерфейс надо эту запись привязать. А вот это ARPA — это не ARP, это ARPA. Это DARPA, департамент перспективных исследований. Это способ инкапсуляции IP в Ethernet. У нас IP в Ethernet вкладывается напрямую либо через 802.2-прокладку. Если мы напрямую вкладываем в Ethernet II, мы пишем в поле EtherType 0x0800. И это как раз и есть ARPA-вложение — для отправки данных этому узлу мы можем вкладывать IP-пакеты напрямую в Ethernet.

В некоторых ситуациях вы должны будете вкладывать IP-пакеты и ARP-пакеты не в Ethernet напрямую через Ethernet II, а через 802.2-вложение, то есть с LLC- и SNAP-заголовками. Исключительно редкое сегодня явление, но тем не менее иногда бывает нужно. В этом случае вы должны будете указать, что для определённого соседа нужно инкапсуляцию IP в Ethernet делать через 802.2. Сегодня, если я правильно помню, вы не можете даже заставить вашу циску инкапсулировать IP в Ethernet как-то иначе, кроме как через ARPA. То есть эта колонка фактически декоративная. Что можно сделать с proxy ARP? Можно его выключить. Команда IP proxy-ARP disable выключает proxy ARP на всех интерфейсах.

Очень хорошая идея выключить его, но только если вы не провайдер и только если у вас нет уже большого количества клиентов, которые по факту уже работают. Если вы оперируете цисками в сети провайдера и у вас уже есть клиенты, и вы обнаружили, что proxy ARP по умолчанию на цисках включён, то может быть плохой идеей просто брать и выключать его. Потому что не исключено, что некоторые ваши клиенты ориентируются на то, что proxy ARP у вас есть, и используют его. Proxy ARP плох для вас как для клиента. А вот если вы провайдер, proxy ARP вам не сильно вредит. Это проблема клиентов, что у них будет пухнуть кэш ARP и что они со своей стороны свои железки настроили некорректно. Но в то же время, если вы провайдер и вы разворачиваете новую сеть, ставите новые циски, то, конечно же, будет хорошей идеей proxy ARP выключать. Правильным образом proxy ARP имеет смысл выключать в сети предприятия. Он там не нужен. В нормальной ситуации, когда вы корректно настроили всех абонентов,

сделали корректную адресацию, proxy ARP вам ни для чего не полезен. Исключение — это тот сценарий, который я рассказывал, когда вам требуется искусственно разбить одну IP-сеть на несколько разных канальных сред. В этой ситуации proxy ARP придётся включить. На цисках, ещё раз повторю, proxy ARP изначально работает из коробки. Более строго говоря, на цисках есть два вида proxy ARP. Один — просто proxy ARP, а другой — так называемый local proxy ARP. Тот, который просто proxy ARP, будет отвечать на запросы клиентов, которые спрашивают про IP-адреса в пределах некой широковещательной среды. И наш роутер знает, что эти IP-адреса находятся в какой-то другой канальной среде. По таблице маршрутизации он может понять, что до этого IP-адреса надо добраться через него самого и отправить пакет куда-то дальше по сети. Сейчас попробую нарисовать. У нас есть роутер, у нас есть интерфейс, который смотрит на клиентов. Приходит запрос на какой-то IP-адрес,

и мы говорим: да, мы знаем, как добраться до этого IP-адреса, надо направить пакет вот туда. Поэтому мы отправляем ответ: да, мы знаем, как добраться, ходи через меня. Вот это нормальный proxy ARP. А есть ещё local proxy ARP, он по умолчанию выключен. В этом случае роутер на любые, прямо реально любые запросы будет отвечать своим собственным MAC-адресом, даже если запрашиваемые адреса находятся в том же самом широковещательном домене. Например, есть какой-то switch, на нём сидят абоненты — 5, 6 абонентов. Первый спрашивает: как мне добраться до второго абонента? И роутер говорит: ходи на меня. Второй спрашивает: как мне добраться до первого? Роутер опять отвечает: ходи через меня. В какой ситуации эта штука может быть полезна? Мы с вами будем разбираться на курсе по свитчингу. Вы можете на этом свитче включить хитрый режим, когда трафик будет ходить не напрямую между пользователями, а через роутер.

Даже если обычные абоненты захотят общаться между собой, всё равно трафик будет проходить через интерфейс роутера. В этой ситуации вам придётся local proxy ARP включать. По умолчанию он выключен. Команда no ip proxy-arp выключает proxy ARP на уровне отдельного интерфейса, и no ip local-proxy-arp выключает локальный proxy ARP на уровне отдельного интерфейса. Как проверить, включён proxy ARP или нет? Есть команда show ip interface, наша любимая. Она выдаёт простыню на каждом интерфейсе, и там две строчки содержат слово proxy ARP. Обычный proxy ARP по умолчанию работает. Local proxy ARP по умолчанию выключен — это про адреса в своей собственной подсети. Вот такой замечательный протокол. Очень простой, очень дубовый, но тем не менее работает, и больше для него ничего не требуется. Теперь вы знаете, как происходит разрешение канальных адресов в сети Ethernet, если мы хотим отправить

какой-то IP-пакет узлу, который находится с нами в одном широковещательном домене. С этим знанием, я думаю, мы можем закончить этот модуль. Продолжение следует...