Зачем добавлять статические записи arp в кеш

Обновлено: 02.07.2024

Активировать регистрационный ключ продукта F5

Проверьте правильность работы вашей системы BIG-IP

Познакомьтесь с бесплатными курсами для самостоятельного изучения

Присоединяйтесь к сообществу из более чем 300 000 технических специалистов

Продвигайтесь по карьерной лестнице с сертификацией F5

Руководства по продуктам и примечания к выпуску

Главная страница AskF5
Центры знаний
BIG-IP LTM
BIG-IP TMOS: администрирование маршрутизации
Протокол разрешения адресов

Применимо к:

БОЛЬШОЙ IP AAM

БОЛЬШОЙ IP APM

BIG-IP GTM

Аналитика BIG-IP

Контроллер канала BIG-IP

BIG-IP LTM

BIG-IP PEM

АСМ BIG-IP

Протокол разрешения адресов в системе BIG-IP

Система BIG-IP представляет собой многоуровневое сетевое устройство и поэтому должна выполнять функции маршрутизации. Для этого система BIG-IP должна иметь возможность находить MAC-адреса назначения в сети на основе известных IP-адресов. Система BIG-IP делает это за счет поддержки стандартного отраслевого протокола уровня 3.

Каковы состояния записей ARP?

При использовании утилиты конфигурации BIG-IP для просмотра записей в кэше ARP вы можете просмотреть состояние каждой записи:

Прошло двадцать секунд.
Система BIG-IP получает от хоста назначения либо ответ с разрешением, либо самовольный ARP. (A — это сообщение ARP, которое хост отправляет без запроса ARP.)
Вы явно удаляете запись из кэша ARP.

Об ответах BIG-IP на запросы ARP от устройств брандмауэра

Система не отвечает на запросы ARP, отправленные любым брандмауэром, использующим многоадресный IP-адрес в качестве исходного адреса.

О необоснованных ARP-сообщениях

При динамическом обновлении кэша ARP система BIG-IP включает не только записи, полученные в результате ответов на запросы ARP, но также записи, полученные в результате необоснованных сообщений ARP.

По соображениям безопасности система не полностью доверяет необоснованным записям ARP. Следовательно, если в кэше нет существующей записи для пары IP-адрес/MAC, и система BIG-IP не может проверить действительность произвольной записи ARP в течение короткого периода времени, система BIG-IP удаляет запись.

Управление статическими записями ARP

Вы можете управлять статическими записями в кэше ARP различными способами.

Сводка задачи

Добавление статической записи ARP

Выполните эту задачу, чтобы добавить записи в кэш ARP в системе BIG-IP. Добавление статической записи для целевого сервера в кэш ARP избавляет систему BIG-IP от необходимости отправлять широковещательный запрос ARP для этого целевого сервера. Это может быть полезно, если вы хотите, чтобы система пересылала пакеты на специальный MAC-адрес, например, на общий MAC-адрес, или вы хотите, чтобы MAC-адрес никогда не менялся для данного IP-адреса.

На вкладке "Основные" нажмите "Сеть" > "ARP" > "Статический список" .
Нажмите "Создать" .
В поле Имя введите имя записи ARP.
В поле IP-адрес введите IP-адрес, с которым вы хотите связать MAC-адрес.
В поле MAC-адрес введите MAC-адрес, который вы хотите связать с указанным IP-адресом.
Нажмите "Готово" .

Когда системе BIG-IP необходимо пересылать пакеты на указанный IP-адрес, система проверяет кэш ARP, чтобы найти MAC-адрес. Затем система проверяет таблицу переадресации уровня 2 VLAN, чтобы определить соответствующий исходящий интерфейс.

Просмотр статических записей ARP

На вкладке "Основные" нажмите "Сеть" > "ARP" > "Статический список" .
Просмотрите список статических записей ARP.

Удаление статических записей ARP

На вкладке "Основные" нажмите "Сеть" > "ARP" > "Статический список" .
Найдите запись, которую хотите удалить, и слева от записи установите флажок.
Нажмите «Удалить» . Появится подтверждающее сообщение.
Нажмите "Удалить" .

Управление динамическими записями ARP

Вы можете управлять динамическими записями в кэше ARP различными способами.

Сводка задачи

Просмотр динамических записей ARP

На вкладке "Основные" выберите Сеть > ARP > Динамический список.
Просмотрите список динамических записей ARP.

Удаление динамических записей ARP

На вкладке "Основные" выберите Сеть > ARP > Динамический список.
Найдите запись, которую хотите удалить, и слева от записи установите флажок.
Нажмите «Удалить» . Появится подтверждающее сообщение.
Нажмите "Удалить" .

Настройка глобальных параметров для динамических записей ARP

Выполните эту задачу, чтобы применить глобальные параметры ко всем динамическим записям ARP.

На вкладке "Основные" нажмите "Сеть" > "ARP" > "Параметры" .
В поле "Динамический тайм-аут" укажите значение в секундах. Секунды начинают обратный отсчет до 0 для любой динамически добавляемой записи. Когда значение достигает 0, система BIG-IP автоматически удаляет запись из кэша. Если запись активно используется, когда время приближается к 0 , ARP пытается обновить запись, отправляя запрос ARP.
В поле Максимальное количество динамических записей укажите максимальное количество записей. Настройте значение, достаточно большое для сохранения записей для всех напрямую подключенных хостов, с которыми система BIG-IP должна взаимодействовать. Если у вас есть более 2000 хостов, которые напрямую подключены к системе BIG-IP, вы должны указать значение, превышающее значение по умолчанию 2048. Если количество динамических записей в кеше достигает указанного вами предела, вы все равно можете добавить в кеш статические записи. Это возможно, потому что система может преждевременно удалить старую динамическую запись, чтобы освободить место для новой статической записи, которую вы добавляете.
В поле Request Retries укажите, сколько раз система может повторно отправить запрос ARP, прежде чем хост будет помечен как недоступный.

Для параметра "Взаимное обновление" установите или снимите флажок, чтобы включить или отключить параметр.

Option< /th>	Описание
Включено	Создает запись в кэше ARP всякий раз, когда система получает пакеты who-has от другого хоста в сети. Когда вы включаете эту опцию, вы немного повышаете производительность системы, устраняя необходимость в том, чтобы система BIG-IP позже выполняла дополнительный обмен ARP.
Отключено	Предотвращает вредоносное действие, известное как отравление ARP. происходит, когда хост намеренно изменен для отправки ответа ARP, содержащего ложный MAC-адрес.

Option< /th>

Описание

Включено

Создает запись в кэше ARP всякий раз, когда система получает пакеты who-has от другого хоста в сети. Когда вы включаете эту опцию, вы немного повышаете производительность системы, устраняя необходимость в том, чтобы система BIG-IP позже выполняла дополнительный обмен ARP.

Отключено

Предотвращает вредоносное действие, известное как отравление ARP. происходит, когда хост намеренно изменен для отправки ответа ARP, содержащего ложный MAC-адрес.

Нажмите "Обновить" .

Глобальные параметры для записей динамического кэша ARP

Вы можете настроить набор глобальных параметров для управления записями динамического кэша ARP.

Брандмауэр хранит в кэше записи протокола разрешения адресов (ARP), которые узнаются, когда он прослушивает запросы ARP или пакеты ответов ARP на своих интерфейсах. ARP используется для разрешения MAC-адреса хоста на основе его IP-адреса и наоборот.

Вы можете использовать следующие команды для настройки операций ARP: 1. Определите статическую запись ARP:

Записи ARP обычно создаются, когда брандмауэр получает ответы на запросы ARP на каждом интерфейсе. Могут быть случаи, когда вам нужно настроить статическую запись для хостов, которые не отвечают на запросы ARP на своих интерфейсах. Статические записи ARP не устаревают со временем.

Укажите имя интерфейса брандмауэра if_name (например, внутри или снаружи), где можно найти хост. Также необходимо указать IP-адрес и MAC-адрес хоста (в формате тройки с точками).

Используйте ключевое слово alias для создания статической записи ARP-прокси, где брандмауэр отвечает на запросы ARP от имени настроенного IP-адреса хоста, независимо от того, существует ли он на самом деле.

Например, вы можете использовать следующую команду, чтобы настроить статическую запись ARP для машины, которую можно найти во внутреннем интерфейсе. Его MAC-адрес и IP-адрес — 0006.5b02.a841 и 192.168.1.199 соответственно:

<р>2. Установите таймер сохранения ARP:

Динамически собираемые записи ARP хранятся в кэше брандмауэра в течение фиксированного периода времени. В течение этого времени никакая новая информация ARP не добавляется и не изменяется для конкретного кэшированного адреса хоста. По умолчанию записи ARP хранятся 14 400 секунд (4 часа). Вы можете установить таймер сохранения в секундах (от 1 до 1 215 752 секунд для PIX 6.3 или от 60 до 4 294 967 секунд для ASA и FWSM).

Вы можете отобразить текущее содержимое кэша ARP с помощью следующей команды:

Например, в брандмауэре были созданы следующие записи ARP:

Учтите, что брандмауэр также поддерживает записи ARP для своих собственных интерфейсов, на что указывают записи, заштрихованные серым цветом.

Вы можете добавить ключевое слово статистики для отображения счетчиков различных действий ARP. Рассмотрим следующий вывод:

Отброшено блоков в ARP: 10 Максимальное количество блоков в очереди: 17 Блоков в очереди: 0

Если IP-адрес хоста изменяется или его сетевой интерфейс заменяется, существующая запись ARP может устареть и оставаться в таблице ARP брандмауэра до истечения срока ее действия. В этом случае вы можете очистить все содержимое кэша ARP с помощью команды EXEC clear arp.

Если вы решите очистить кэш ARP, вам следует делать это только во время технического обслуживания, когда сеть не занята; в противном случае может возникнуть пауза в прохождении сетевого трафика через брандмауэр во время перестройки кэша ARP.

Несмотря на то, что вы не можете очистить отдельные записи кэша ARP, вы можете настроить статическую запись ARP для рассматриваемого IP-адреса, чтобы он был связан с поддельным MAC-адресом. После этого удалите только что использованную команду. Поддельная статическая запись ARP удаляется, а брандмауэр повторно изучает запись ARP на основе динамической информации от хоста.

ARP (сокращение от "Протокол разрешения адресов") – это сетевой протокол, используемый для сопоставления сетевого IP-адреса с соответствующим аппаратным MAC-адресом. Когда хост X хочет связаться с хостом Y, X сначала передает запрос ARP в своей локальной сети, чтобы получить MAC-адрес Y. Как только X получает ответ ARP, содержащий MAC-адрес Y, X использует эту информацию для создания кадров Ethernet, предназначенных для Y .

Информация о сопоставлении IP/MAC-адресов, полученная таким образом, кэшируется в локальной таблице ARP, поэтому процесс запроса ARP впоследствии может быть пропущен.

Проблемы могут возникнуть, когда по какой-либо причине хост X не получает ARP-ответы для целевого хоста Y, с которым он хочет установить связь. В других случаях ARP-ответы приходят, но содержат MAC-адрес, связанный с некорректным хостом Z. Такие поврежденные ARP-ответы приведут к перехвату трафика, когда трафик, который должен был быть отправлен на Y, окажется на хосте Z .

При работе с подобными аномальными ситуациями, вызванными ARP, полезно иметь возможность вручную добавлять статические записи ARP в локально кэшированную таблицу ARP. Когда MAC-адрес целевого хоста Y найден в локальной таблице ARP, нет необходимости отправлять запросы ARP.

Добавить статическую запись ARP в локальную таблицу ARP

Приведенные выше команды сообщают локальной таблице ARP, что хост с IP-адресом 10.0.0.2 имеет MAC-адрес 00:0c:29:c0:94:bf . После того как вы настроили статическую запись ARP, вы можете это проверить.

Как вы можете видеть выше, статически настроенная запись ARP отображается правильно, помеченная как PERM в таблице ARP.

Удалить статическую запись ARP из локальной таблицы ARP

Постоянное добавление статических записей ARP в Linux

Обратите внимание, что любая запись ARP, добавленная командой arp во время выполнения, как описано выше, не постоянно сохраняется после перезагрузки. Чтобы добавить статическую запись ARP на постоянной основе, вы можете автоматически загружать записи ARP из внешнего файла при включенном сетевом интерфейсе. Для этого сначала создайте файл, содержащий статические записи ARP.

Команда arp позволяет загружать любой внешний файл с помощью параметра -f.

Теперь вам нужно настроить автоматический запуск приведенной выше команды при включении данного сетевого интерфейса (например, eth0 ). Существуют специфичные для дистрибутива способы запуска команды запуска для сетевых интерфейсов. Ниже приведены примеры для конкретных дистрибутивов.

Здесь я предполагаю, что вы не используете Network Manager в своей системе Linux. Поэтому, если вы используете Network Manager, вам придется сначала отключить его.

В Ubuntu, Debian или Mint добавьте следующую запись в /etc/network/interfaces:

В CentOS, RHEL или Fedora создайте следующий исполняемый скрипт, как описано в этом руководстве:

Сделайте скрипт исполняемым:

Поддержка Xmodulo

Этот веб-сайт стал возможен благодаря минимальной рекламе и вашему любезному пожертвованию через PayPal или кредитную карту

Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Отображает и изменяет записи в кэше протокола разрешения адресов (ARP). Кэш ARP содержит одну или несколько таблиц, которые используются для хранения IP-адресов и их разрешенных физических адресов Ethernet или Token Ring. Для каждого сетевого адаптера Ethernet или Token Ring, установленного на вашем компьютере, существует отдельная таблица. При использовании без параметров arp отображает справочную информацию.

Синтаксис

Параметры

Параметр	Описание
[/a [ ] [/n ]	Отображает текущие таблицы кэша ARP для всех интерфейсов. Параметр /n чувствителен к регистру. Чтобы отобразить запись кэша arp для определенного IP-адреса, используйте arp /a с параметром inetaddr, где inetaddr — это IP-адрес. Если inetaddr не указан, используется первый подходящий интерфейс. Чтобы отобразить таблицу кэша arp для определенного интерфейса, используйте параметр /n ifaceaddr в сочетании с параметром /a, где inetaddr — это IP-адрес, назначенный интерфейсу.
[ /g [ ] [/n ]	Идентичен /a.
[/d [ ]	Удаляет запись с конкретный IP-адрес, где inetaddr — это IP-адрес. Чтобы удалить запись в таблице для определенного интерфейса, используйте параметр ifaceaddr, где ifaceaddr — это IP-адрес, назначенный интерфейсу.Чтобы удалить все записи, используйте подстановочный знак звездочка (*) вместо inetaddr.
[/s [ ]	Добавляет статическую запись в Кэш arp, который преобразует IP-адрес inetaddr в физический адрес etheraddr. Чтобы добавить в таблицу статическую запись кэша ARP для определенного интерфейса, используйте параметр ifaceaddr, где ifaceaddr — это IP-адрес, назначенный интерфейсу.
/?	Отображает справку в командной строке.

Примечания

IP-адреса для inetaddr и ifaceaddr выражаются в десятичном формате с точками.

Физический адрес для etheraddr состоит из шести байтов, выраженных в шестнадцатеричной системе счисления и разделенных дефисами (например, 00-AA-00-4F-2A-9C).

Записи, добавленные с помощью параметра /s, являются статическими и не удаляются из кэша arp по времени. Записи удаляются, если протокол TCP/IP останавливается и запускается. Чтобы создать постоянные записи статического кэша arp, поместите соответствующие команды arp в пакетный файл и используйте запланированные задачи для запуска пакетного файла при запуске.

Примеры

Чтобы отобразить таблицы кеша arp для всех интерфейсов, введите:

Чтобы отобразить таблицу кэша ARP для интерфейса, которому назначен IP-адрес 10.0.0.99, введите:

Чтобы добавить запись статического кэша ARP, которая преобразует IP-адрес 10.0.0.80 в физический адрес 00-AA-00-4F-2A-9C, введите:

Читайте также: