免费ARP与代理ARP在工业场景的应用
2022-8-9 14:9:35 Author: www.aqniu.com(查看原文) 阅读量:26 收藏

免费ARP与代理ARP在工业场景的应用

日期:2022年08月09日 阅:83

以下文章来源于六方云 ,作者支持专家冬哥

六方云.六方云借助人工智能技术和仿生人体免疫机制,提出了“AI基因、威胁免疫”的“安全理念,将人工智能技术应用于全系列产品,构建安全威胁免疫系统。致力于提供关键信息基础设施保护、工业互联网安全、物联网安全的产品和解决方案!

ARP在IPv4网络中扮演着重要角色,我们知道主机最终通信靠的是MAC地址,可是我们平时只是用IP地址来进行通信的,这是因为ARP在默默的帮我们做着底层的翻译工作。在实际工作当中,可能会用到ARP的地方,包括同网段通信、跨网段通信、检测地址冲突、更新硬件地址、作为代理网关、建立映射关系等。本篇先为大家介绍免费ARP(Gratuitous ARP)和代理ARP(Proxy ARP)在实际工作中的应用。

场景一:工业现场问题排查,会遇到网络时断时续。本端与对端在同网段,出现网络不稳定的情况。ARP是容易被忽视的排查点,ARP的哪些技术能帮到我们呢?

场景二:由于当初规划不尽合理,防火墙将相同网段分割开来,不想调整网络结构还想实现网络隔离,此种情况下能满足客户需求吗?

场景三:两个车间之间的路由器或交换机无法修改(忘记账户密码了),但又希望两个车间能够实现访问控制。实施部署会遇到什么问题,而又需要ARP技术来解决呢?

01.
免费ARP与代理ARP介绍

1、 为什么需要ARP因为32位IP地址用于网络层通信,48位的MAC地址用于链路层通信,逻辑IP地址与硬件MAC地址是独立工作的,所以需要一种地址解析的机制来提供映射。
2、 ARP的作用ARP用于将IP地址解析为MAC地址。
3、 免费ARP的作用免费ARP用于检查重复的IP地址或通告新的MAC地址等场景。

4、 代理ARP的作用代理ARP用于IP网段被分割或路由使用出接口等场景。

02.
解决方案介绍
首先要知道,主机最终通信靠的是MAC地址。即使是跨网段通信,最后也会交给那个网段的网关,网关和目的主机通信也是同网段,此时还是MAC地址的通信。

1、场景一解决方案介绍

① 需求:由于二层交换机未及时更新MAC地址表(偶现),导致工程师站去往MES使用了旧MAC地址。在不修改二层交换机的情况下,主动及时更新二层交换机MAC地址表,使工业环境网络快速收敛,进一步保障工业场景的即时通信。

② 方案:防火墙配置免费ARP,来及时的周期性的通告自己的MAC地址。

③ 原理:通过配置免费ARP,使防火墙主动发送Gratuitous ARP消息(源、目的IP都是自己),来触发直连ISP设备更新ARP表和二层交换机更新MAC地址表。

2、场景二解决方案介绍

① 需求:由于管理员在规划网络时“偷懒”,将操作员站与数据库服务器规划到同一网段中。现在希望防火墙作为三层设备进行隔离与防护,来进一步提高网络的安全性。

② 方案:配置代理ARP,由防火墙代为应答操作员站发出的ARP请求。

③ 原理:操作员站与数据库服务器属于同网段,由于被防火墙分割形成了不同的广播域,所以操作员站的ARP广播请求无法到达数据库服务器,需要防火墙配置Proxy ARP来做应答和中转。

3、场景三解决方案介绍

① 需求:由于客户将路由配置了出接口方式,导致网络不通,现在只能改变FW的情况下尝试解决该问题。

② 方案:防火墙配置代理ARP,由FW代为应答R1发出的ARP请求。

③ 原理:R1路由使用出接口方式会识别为直连网络,由此认为目的IP地址与接口IP地址是同网段,会直接发送ARP广播请求获取目的IP地址的MAC地址。由于FW分割广播域,所以ARP广播无法穿越FW,通过配置Proxy ARP让FW代为应答及中转。

03.
典型案例-场景一

1、任务说明上线部署防火墙需要尽快连通业务,及时更新直连设备的MAC地址,最终保障业务能够快速割接完成。

2、实现介绍如果不配置免费ARP,防火墙在启动时也会发送一次免费ARP,包括路由器、交换机、主机都有这种行为,主要是用来检测IP地址冲突。实际工作中这一条消息有可能在网络中丢失,所以我们出现问题的时候,或为了保险起见可以手动配置免费ARP。
通过配置免费ARP,使防火墙主动发送Gratuitous ARP广播消息(源、目IP都是自己,源MAC是自己,目的MAC用0填充),来触发直连MES更新ARP表和二层交换机更新MAC地址表。先把底层(链路层)保持最新,再处理上层(网络层)就更稳妥了。

比如CISCO Router默认ARP表项老化时间为4h,CISCO Switch默认MAC表项老化时间为300s,通过免费ARP可以排除一部分老化时间的影响。

3、免费ARP有什么缺点?因为局域网上一般没有安全的认证系统,所以任何主机都可以发送免费ARP广播,这样就容易出现 MAC地址欺骗。ARP实现机制只考虑业务的正常交互,对非正常交互或恶意行为不做验证,容易出现ARP欺骗、ARP缓冲区溢出攻击、ARP拒绝服务攻击等。
众所周知,在解决一个问题时,会引入一个新的机制,通常由于缺乏全面系统的考虑,没有对技术进行全方位的论证,导致某些技术存在一定缺陷,后续只有通过原技术打补丁或引入全新技术来规避。针对免费ARP的不足,一些厂商已经引入ACD机制,目前主要是在各厂商路由设备上实现,有兴趣的朋友可以搜索ACD或RFC5227。

04.
典型案例-场景二

1、任务说明防火墙位置将192.168.0.0/16网段分割开来,在不修改原环境配置的情况下,实现操作员站与数据库服务器通信。

2、实现介绍操作员站与数据库服务器属于同网段,由于被防火墙分割形成了不同的广播域,所以操作员站的ARP广播请求无法达到数据库服务器。需要防火墙配置Proxy ARP,然后防火墙用自己的MAC地址回应操作员站。防火墙再向数据库服务器发出ARP广播请求,请求获得数据库服务器的MAC地址,数据库服务器看到目的IP是自己,就会回复一个单播ARP响应。届时防火墙就作为代理来做中转工作。

3、如何判断网络中使用了代理ARP① Linux可以查看ARP表,有多个IPv4地址动态映射到单一MAC地址。[[email protected] ~]# arp -a? (192.168.200.22) at 50:01:00:02:00:03 [ether] on eth0? (192.168.100 1) at 50:01:00:02:00:03 [ether] on eth0
② Windows可以查看ARP表,有多个IPv4地址动态映射到单一MAC地址。C:\Users\database>arp -aInterface: 192.168.200.22
Internet Address    Physical Address    Type192.168.100.12    50-01-00-02-00-05    dynamic192.168.200.1    50-01-00-02-00-05    dynamic
05.
典型案例-场景三

1、任务说明R1和R2的路由下一跳配置了出接口方式导致网络不通,在不改变原配置的情况下解决网络联通性。

2、实现介绍
使用出接口会被识别为直连,因为FW分割了广播域,所以ARP广播请求无法穿越FW到R2。通过配置代理ARP,FW可以代为应答和转发,最终实现有效通信。

3、下一跳、出接口、出接口+下一跳有什么区别?

① 路由使用下一跳方式,路由器/防火墙会进行递归查询到达下一跳的路由,直到找到去往下一跳的出接口。
② 路由使用出接口方式,路由器/防火墙会认为是直连网络,也就是理解为了同网段,那就发送ARP广播请求目的IP的MAC地址,所以必须开Proxy ARP。
③ 路由使用出接口+下一跳方式,路由器/防火墙会进行递归查询到达下一跳的路由,直到找到去往下一跳的出接口。
④ 路由使用出接口+下一跳非直连方式,路由器/防火墙会认为下一跳设备与相关联出接口是直连,发送ARP广播请求远端的MAC地址,所以必须开Proxy ARP。


文章来源: https://www.aqniu.com/homenews/87477.html
如有侵权请联系:admin#unsafe.sh