프록시 ARP 에 대한 인스턴스 구성
프록시 ARP 의 원리는 그림 1 과 같습니다.
일회 전력망
ARP 를 실행합니다
네트워크를 숨깁니다
호스트를 숨깁니다
그림 * * * 의 주 네트워크와 스텔스 네트워크는 하나의 네트워크 주소를 공유합니다. 즉, 주 네트워크와 스텔스 네트워크는 동일한 주소 세그먼트에 있습니다. 프록시 ARP 에는 기본 네트워크의 IP 주소 물리적 주소 매핑이 필요합니다. 주 네트워크의 각 호스트가 ARP 를 호출하여 스텔스 네트워크 호스트의 물리적 주소를 확인할 때 게이트웨이 G 는 호스트 응답 대신 G 자체의 물리적 주소, G 응답입니다. 게이트웨이 G 는 숨겨진 네트워크의 모든 호스트를 알아야 숨겨진 네트워크에 들어가는 모든 데이터 메시지가 먼저 게이트웨이 G 로 전송되고 게이트웨이 G 가 도착해야 하는 호스트로 메시지를 보내고 있습니다. 마찬가지로 게이트웨이 G 도 출력 데이터를 적절히 조작할 수 있도록 주 네트워크의 호스트를 알고 있습니다.
프록시 ARP 기술은 IP 주소와 물리적 주소의 두 가지 측면을 포함합니다. 한편 프록시 ARP 는 이러한 ARP 요청에 응답하는지 여부를 결정해야 하기 때문에 IP 라우팅을 사용해야 합니다. 반면 에이전트 ARP 는 게이트웨이 G 에 IP- 물리적 주소 매핑 테이블을 설정하여 물리적 전송에 직접 참여해야 합니다. 프록시 ARP 기술에서 하나의 물리적 주소가 여러 IP 주소에 해당하기 때문에 네트워크 주소 재사용 기술입니다. 둘 다 일대일로 대응하지 않습니다. 이는 프로토콜에서 불법입니다. 보안 문제가 발생할 수 있기 때문입니다. 한 컴퓨터가 다른 컴퓨터라고 주장하는 경우 자신의 물리적 주소를 소유하지 않는 ARP 요청에 응답한 다음 그룹을 불법적으로 수락합니다. 이러한 안전하지 않은 요소를 피하기 위해 일부 ARP 구현은 특수한 대응 메커니즘을 도입했다. 일단 발견되면 프록시 ARP 기술에서는 경고를 생성할 수 없습니다. 그렇지 않으면 경고 메시지가 너무 많아 불필요한 문제가 발생할 수 있습니다. 에이전트 ARP 기술의 중요한 개념 중 하나는' 신뢰' 입니다. 그 기본 사상은 ARP 에 참여하는 모든 기계가 서로 협력해야 하고 속일 수 없기 때문에 모든 ARP 응답은 합법적입니다.
이 기술은 라우터에 광범위하게 적용된다. 일부 전화 접속 사용자는 중앙 LAN 라우터의 LAN 포트에 프록시 ARP 를 설정하여 중앙 LAN 세그먼트를 사용하여 센터와 통신할 수 있습니다. 라우터가 동적 IP 주소 풀도 지원하는 경우 전체 네트워크 구성이 매우 간단합니다. 상하이 보다 데이터 통신유한공사에서 생산한 BDCOM3000 시리즈 라우터는 이러한 사용을 지원하며 일반적인 애플리케이션은 다음과 같습니다.
이 네트워크에서 라우터는 전화 접속 액세스 서버로 주로 중앙 라우터 BDC0M3 16 1 에 집중되어 있습니다. E0 포트는 프록시 ARP 기술을 사용하며 라우터는 동적 IP 주소 풀을 구성하여 원격 전화 접속 컴퓨터가 전화 접속 네트워크의 전화 번호만 구성하면 센터와 통신할 수 있도록 합니다. BDCOM3 16 1 Cisco 에 해당하는 25 1 1, 16 개의 비동기 포트, 3 개 각 포트의 최대 속도 (동기식) 는 2M 이며, 이들 3 개 포트도 비동기식 (필요에 따라 라우터 포트에서 동기식/비동기식 구성) 을 지원합니다. 모두 비동기식이면 19 개의 비동기 포트를 제공할 수 있습니다. 이런 용법은 청해성의 한 은행에서 볼 수 있다. 라우터 구성은 다음과 같습니다.
Nodename bdcom 3161라우터 이름 설정.
Ippool 추가 remote IP192.168.1..1001
E0 은 이더넷 포트로 들어갑니다.
Arpproxy-arp enable ARP 에이전트를 엽니다.
IPadd192.168.1.254 255.255.0 이더넷 IP 주소 설정.
종료 E0 포트를 종료합니다.
A0 이 A0 포트로 들어갑니다.
패키지 PPP 는 A0 포트를 PPP 프로토콜로 캡슐화합니다.
IPadd192.168.1.254 255.255.0 E0 포트 주소와 동일한 IP 주소를 설정합니다.
회선 전화 접속은 이 포트를 전화 접속 회선으로 변경합니다.
Idletime 300 은 끊기 시간을 설정합니다 (라우터가 300 초 동안 트래픽이 없을 때 모뎀을 끊음).
Ppp auth PAP 는 이 포트에서 PAP 인증을 수행합니다.
원격 컴퓨터에 주소 할당
A0 포트를 종료합니다.
A 1
패키지 PPP
Ip 주소192.168.1.254 255.255.0
회선 전화 접속
유휴 시간 300
Ppp 라이센스 파일
Ppp ipcp pool remoteip 주소 풀 remoteip 를 사용하여 원격 컴퓨터에 주소를 할당하도록 지정합니다.
포기하다
대동맥의 두 번째 소리
패키지 PPP
Ip 주소192.168.1.254 255.255.0
회선 전화 접속
유휴 시간 300
Ppp 라이센스 파일
Ppp ipcp 풀 원격 IP
포기하다
A3
패키지 PPP
Ip 주소192.168.1.254 255.255.0
회선 전화 접속
유휴 시간 300
Ppp 라이센스 파일
Ppp ipcp 풀 원격 IP
포기하다
......
A 15
패키지 PPP
Ip 주소192.168.1.254 255.255.0
회선 전화 접속
유휴 시간 300
Ppp 라이센스 파일
Ppp ipcp 풀 원격 IP
포기하다
사용자 추가 bdcom ABCD 는 PAP 인증과 사용자 계정 (bdcom) 및 암호 (ABCD) 입니다.
사용자가 bdcom 1 dcba 를 추가합니다. 필요한 만큼 계정을 추가할 수 있습니다.
Icmp 리디렉션 사용 안 함 원격 전화접속에서 인터넷 제어 메시지 프로토콜을 사용 안 함으로 설정하는 리디렉션 정보입니다. 컴퓨터는 전화 접속 네트워크의 전화 번호만 구성하면 됩니다. 관리자에게서 계정과 비밀번호를 얻을 수 있습니다. IP 주소는 라우터에 의해 자동으로 할당됩니다.
인스턴스 구성:
그림과 같이 스위치는 두 대의 PC(A 와 b) 를 연결합니다. 처음에는 VLAN 1 에 각각 IP 주소172.16.1.2//kloc-가 구성되었습니다
Vlan 1 1 개 추가, vlanif 에 IP:172.16.1../kloc 추가
Vlan2 플러스 b, IP:172.16.2.1/24 를 갖춘 vlanif.
이 시점에서 ApingB 는 ping 을 수행할 수 없습니다.
원인 추측: 게이트웨이 또는 에이전트 ARP 가 구성되지 않아 ping 을 할 수 없습니다.
마지막 두 포트의 프록시 ARP 를 구성할 때 Ping 과 다르다는 것을 알게 되었습니다.
이때 A 의 ARP 표를 조사해 보니 표에 기록된 172. 16.2.2 의 MAC 주소가 B 의 주소였다.
이때 A 가 보낸 메시지에 캡슐화된 MAC 주소는 B 이며 vlanif 가 프레임을 수신하면 삭제됩니다.
A (ARP–d) 의 ARP 테이블을 지우고 bb 에 대해 ping 을 하면 ping 이 가능합니다. A 에 기록된 172. 16.2.2 의 MAC 주소는 이미 vlanif 1 의 MAC 입니다.