Proxy-ARP (Adressentschlossenheitsprotokoll) ist eine Technik, durch die ein Gerät in einem gegebenen Netz auf die ARP-Abfragen für eine Netzadresse antwortet, die nicht in diesem Netz ist. Die ARP Vertretung ist der Position des Bestimmungsortes des Verkehrs bewusst, und bietet seine eigene MAC-Adresse als Antwort an, effektiv sagend, "senden Sie es an mich, und ich es dazu bekommen werde, wohin es gehen muss." Die Portion als eine ARP Vertretung für einen anderen Gastgeber leitet effektiv LAN Verkehr zur Vertretung. Der "gewonnene" Verkehr wird dann normalerweise durch die Vertretung zum beabsichtigten Bestimmungsort über eine andere Schnittstelle oder über einen Tunnel aufgewühlt.

Der Prozess, der auf den Knoten hinausläuft, der mit seiner eigenen MAC-Adresse zu einer ARP-Bitte um eine verschiedene IP-Adresse zu proxying Zwecken erwidert, wird manchmal 'das Veröffentlichen' genannt. Eine ARP Proxysimulation vergegenwärtigt sich, wie ein Router auf die ARP-Bitte im Auftrag des Zielgastgebers an verschiedenen Netzen antwortet. Sieh ARP Aktualisierungen des geheimen Lagers am Gastgeber, Router, entfernten Gastgeber.

Gebrauch

Unten sind etwas typischer Gebrauch für Proxy-ARP:

Sich einer Sendung LAN mit Serienverbindungen (z.B, Verbindungsaufbau oder VPN Verbindungen) anschließend.

:Assume Ethernet hat Gebiet (z.B, eine Gruppe von Stationen übertragen, die mit demselben Mittelpunkt verbunden sind) das Verwenden eines bestimmten IPv4 Adressbereichs (z.B, 192.168.0.0/24, wo 192.168.0.1 - 192.168.0.127 verdrahteten Knoten zugeteilt werden). Ein oder mehr von den Knoten ist ein Zugriffsrouter-Annehmen-Verbindungsaufbau oder VPN Verbindungen. Der Zugriffsrouter gibt den Verbindungsaufbau-Knoten IP Adressen in der Reihe 192.168.0.128 - 192.168.0.254; für dieses Beispiel, nehmen Sie an, dass ein Verbindungsaufbau-Knoten IP-Adresse 192.168.0.254 bekommt.

:The-Zugriffsrouter verwendet Proxy-ARP, um die Verbindungsaufbau-Knotengegenwart im Teilnetz zu machen, ohne in Ethernet angeschlossen zu werden: Der Zugriffsserver 'veröffentlicht' seine eigene MAC-Adresse für 192.168.0.254. Jetzt, wenn ein anderer in Ethernet angeschlossener Knoten mit dem Verbindungsaufbau-Knoten sprechen will, wird es nach dem Netz für die MAC Adresse 192.168.0.254 fragen und die Zugriffsserver-MAC-Adresse finden. Es wird deshalb seine IP Pakete an den Zugriffsserver senden, und der Zugriffsserver wird wissen, um sie dem besonderen Verbindungsaufbau-Knoten weiterzugeben. Alle Verbindungsaufbau-Knoten erscheinen deshalb zu den verdrahteten Knoten von Ethernet, als ob sie in dasselbe Teilnetz von Ethernet angeschlossen werden.

Die Einnahme vielfacher Adressen von einem LAN

:Assume hat eine Station (z.B, ein Server) mit einer Schnittstelle (10.0.0.2) zu einem Netz (10.0.0.0/24) in Verbindung gestanden. Bestimmte Anwendungen können vielfache IP-Adressen auf dem Server verlangen. Vorausgesetzt dass die Adressen von der 10.0.0.0/24-Reihe sein müssen, ist die Weise, wie das Problem behoben wird, durch Proxy-ARP. Zusätzliche Adressen (sagen 10.0.0.230-10.0.0.240), sind aliased zur Echoprüfungsschnittstelle des Servers (oder zugeteilt speziellen Schnittstellen, die Letzteren normalerweise mit VMware/UML/jails/vservers/other virtuellen Server-Umgebungen der Fall zu sein), und 'veröffentlicht' auf der 10.0.0.2 Schnittstelle (obwohl viele Betriebssysteme direkte Zuteilung von vielfachen Adressen zu einer Schnittstelle erlauben, so das Bedürfnis nach solchen Tricks beseitigend).

Auf einer Brandmauer

:In dieses Drehbuch eine Brandmauer kann mit einer einzelnen IP-Adresse konfiguriert werden. Ein einfaches Beispiel eines Gebrauches dafür würde eine Brandmauer vor einem einzelnen Gastgeber oder Gruppe von Gastgebern auf einem Teilnetz legen. Beispiel - Ein Netz (10.0.0.0/8) hat einen Server, der (10.0.0.20) eine Proxy-Arp-Brandmauer geschützt werden sollte, kann vor dem Server gelegt werden. Auf diese Weise wird der Server hinter einer Brandmauer gestellt, ohne irgendwelche Änderungen mit dem Netz überhaupt vorzunehmen.

Beweglicher-IP

Der:In-Fall von Beweglichen-IP der Hausagent verwendet Proxy-ARP, um Nachrichten im Auftrag des Beweglichen Knotens zu erhalten, so dass es die passende Nachricht an die Adresse des wirklichen beweglichen Knotens (Sorge - von der Adresse) nachschicken kann.

Durchsichtiges Teilnetz gatewaying

:A-Einstellung, die mit zwei physischen Segmenten verbunden ist, die dasselbe IP Teilnetz und verbunden zusammen über einen Router teilen. Dieser Gebrauch wird in RFC 1027 dokumentiert.

Vorteile

Der Vorteil von Proxy-ARP über andere Netzwerkanschlussschemas ist Einfachheit. Ein Netz kann mit dieser Technik ohne die Kenntnisse stromaufwärts Router erweitert werden.

Nehmen Sie zum Beispiel an, dass sich ein Gastgeber, sagen wir A, mit einem anderen Gastgeber B in Verbindung setzen will, wo B auf einem verschiedenen Gebiet des Teilnetzes/Sendung ist als A. Dafür wird Gastgeber A eine ARP-Bitte mit einem Bestimmungsort IP Adresse von B in seinem ARP Paket senden. Der multi-homed Router, der mit beiden die Teilnetze verbunden wird, antwortet auf die Bitte des Gastgebers A mit seiner MAC-Adresse statt der wirklichen MAC-Adresse des Gastgebers B, so proxying für den Gastgeber B. An den erwarteten Zeitlauf, wenn Gastgeber A ein Paket an den Router sendet, der wirklich dem Gastgeber B, der Router gerade vorwärts das Paket dem Gastgeber B. bestimmt wird. Die Kommunikation zwischen Gastgeber A und B weiß völlig den Router proxying für einander nicht.

Nachteile

Der Nachteil von Proxy-ARP schließt Skalierbarkeit ein (ARP Entschlossenheit ist für jedes Gerät erforderlich, das auf diese Weise aufgewühlt ist), und Zuverlässigkeit (ist kein Rückgriff-Mechanismus da, und masquerading kann in einigen Umgebungen verwirrend sein). ARP Manipulationstechniken sind jedoch die Basis für Protokolle, die Überfülle in Sendungsnetzen (z.B, Ethernet), am meisten namentlich KARPFEN und Virtuelles Router-Überfülle-Protokoll zur Verfügung stellen.

Proxy-ARP kann Angriffe von DoS auf Netze wenn misconfigured schaffen. Zum Beispiel ist ein misconfigured Router mit Proxy-ARP in der Lage, Pakete zu erhalten, die für andere Gastgeber bestimmt sind (weil es seine eigene MAC-Adresse als Antwort auf ARP-Bitten um andere Gastgeber/Router gibt), aber kann nicht in der Lage sein, diese Pakete auf ihrem endgültigen Bestimmungsort, so blackholing der Verkehr richtig nachzuschicken.

Weiterführende Literatur

• RFC 925 - Multi-LAN Adressentschlossenheit
• RFC 1027 - ARP Verwendend, um Durchsichtige Teilnetz-Tore Durchzuführen
• W. Richard Stevens. Die Protokolle (TCP/IP Illustriert, Band 1). Addison-Wesley Professional; 1. Ausgabe (am 31. Dezember 1993). Internationale Standardbuchnummer 0-201-63346-9