Лабораторная работа: просмотр ARP с помощью интерфейса командной строки Windows, интерфейса командной строки IOS и Wireshark 

Топология

Таблица адресации

Задачи

Часть 1. Создание и настройка сети

Часть 2. Использование команды ARP в ОС Windows

Часть 3. Использование команды show arp в IOS

Часть 4. Анализ обмена сообщениями ARP с помощью программы Wireshark

Исходные данные/сценарий

Протокол разрешения адресов (ARP) используется протоколом TCP/IP для сопоставления IP-адреса уровня 3 с МАС-адресом уровня 2. Когда кадр помещается в сеть, он должен содержать MAC-адрес назначения. Для динамического определения MAC-адреса устройства назначения по локальной сети отправляется широковещательный запрос ARP. Устройство, которое содержит IP-адрес назначения, отвечает, и MAC-адрес записывается в ARP-кэш. Каждое устройство в локальной сети имеет собственный ARP-кэш или небольшой участок в ОЗУ, где хранятся результаты ARP. Таймер ARP-кэша удаляет ARP-записи, которые не использовались в течение определённого периода времени.

ARP — яркий пример компромисса производительности. При отсутствии кэша протокол ARP должен непрерывно запрашивать трансляцию адресов каждый раз при помещении кадра в сеть. В этом случае для установления связи прибавляется время ожидания, что может вызвать перегрузку локальной сети. И наоборот, неограниченное время ожидания может привести к ошибкам устройств, которые покидают сеть или меняют адрес уровня 3.

Администратор сети должен знать о протоколе ARP, даже если не может с ним взаимодействовать на регулярной основе. ARP — это протокол, который позволяет сетевым устройствам обмениваться данными с протоколом TCP/IP. Без него невозможно эффективно построить датаграмму для адреса назначения уровня 2. Кроме того, ARP может создавать риски для безопасности. Хакеры используют ARP-спуфинг, или «отравление» ARP-кэша, для внедрения в сети неверных МАС-адресов. Злоумышленник генерирует ложный MAC-адрес устройства, в результате чего кадры передаются на неверный адрес назначения. Ручная конфигурация статических связей ARP — это один из способов предотвращения атак на основе протокола ARP. И, наконец, для предотвращения несанкционированного доступа к сети на устройствах Cisco можно настроить список авторизированных МАС-адресов.

В данной лабораторной работе вам предстоит открыть таблицу ARP с помощью команд ARP в маршрутизаторах Windows и Cisco. Кроме того, вы очистите ARP-кэш и добавите статические записи ARP.

Примечание. Маршрутизаторы, используемые на практических занятиях CCNA: маршрутизаторы с интеграцией сервисов серии Cisco 1941 (ISR) установленной версии Cisco IOS 15.2(4) M3 (образ universalk9). Используемые коммутаторы: семейство коммутаторов Cisco Catalyst 2960 версии CISCO IOS 15.0(2) (образ lanbasek9). Можно использовать другие маршрутизаторы, коммутаторы и версии CISCO IOS. В зависимости от модели и версии Cisco IOS выполняемые доступные команды и выводы могут отличаться от данных, полученных в ходе лабораторных работ. Точные идентификаторы интерфейса см. в таблице сводной информации об интерфейсах маршрутизаторов в конце данной лабораторной работы.

Примечание. Убедитесь, что информация, имеющаяся на маршрутизаторе и коммутаторе, удалена и они не содержат файлов загрузочной конфигурации. Если вы не уверены, что сможете это сделать, обратитесь к инструктору.

Необходимые ресурсы

•       1 маршрутизатор (Cisco 1941 с универсальным образом M3 версии CISCO IOS 15.2(4) или аналогичным)

•       2 коммутатора (Cisco 2960, ПО CISCO IOS версии 15.0(2), образ lanbasek9 или аналогичный)

•       Два ПК (Windows 7, Vista или XP с установленным эмулятором терминала, например Tera Term, и программой Wireshark)

•       Консольные кабели для настройки устройств CISCO IOS через консольные порты

•       Кабели Ethernet в соответствии с топологией

Примечание. Интерфейсы Fast Ethernet на коммутаторах Cisco 2960 определяют тип подключения автоматически, поэтому между коммутаторами S1 и S2 можно использовать прямой кабель Ethernet.

При использовании коммутатора Cisco другой модели может потребоваться кроссовый кабель Ethernet.

Часть 1: Создание и настройка сети

Шаг 1:    Подключите сеть в соответствии с топологией.

Шаг 2:     Настройте IP-адреса устройств в соответствии с таблицей адресации.

Шаг 3:    Проверьте подключение к сети, отправив с ПК-Б эхо-запросы с помощью команды ping на все устройства.

Часть 2: Использование команды ARP в ОС Windows

Команда arp позволяет пользователю просматривать и изменять ARP-кэш в ОС Windows. Команда вводится в командную строку Windows.

Шаг 1:    Отобразите ARP-кэш.

a. Откройте окно командной строки на ПК-А и введите arp.

C:\Users\User1> arp

Displays and modifies the IP-to-Physical address translation tables used by address resolution protocol (ARP). 

ARP -s inet_addr eth_addr [if_addr]

ARP -d inet_addr [if_addr]

ARP -a [inet_addr] [-N if_addr] [-v]

   -a            Displays current ARP entries by interrogating the current                 protocol data.  If inet_addr is specified, the IP and Physical                 addresses for only the specified computer are displayed.  If                 more than one network interface uses ARP, entries for each ARP                 table are displayed.   -g            Same as -a.   -v            Displays current ARP entries in verbose mode.  All invalid                 entries and entries on the loop-back interface will be shown.   inet_addr     Specifies an internet address.   -N if_addr    Displays the ARP entries for the network interface specified                 by if_addr.   -d            Deletes the host specified by inet_addr. inet_addr may be                 wildcarded with * to delete all hosts.   -s            Adds the host and associates the Internet address inet_addr                 with the Physical address eth_addr.  The Physical address is                 given as 6 hexadecimal bytes separated by hyphens. The entry                 is permanent.   eth_addr      Specifies a physical address.

  if_addr       If present, this specifies the Internet address of the                 interface whose address translation table should be modified.                 If not present, the first applicable interface will be used. Example:

  > arp -s 157.55.85.212   00-aa-00-62-c6-09  .... Adds a static entry.

  > arp -a                                    .... Displays the arp table. b. Изучите выходные данные.

Какая команда позволяет отобразить все записи в ARP-кэше? _______________________________ Какая команда позволяет удалить все записи в ARP-кэше (очистить ARP-кэш)? ________________ Какая команда позволяет удалить все записи в ARP-кэше для 192.168.1.11?

____________________________________________________________________________________

c. Введите arp —a, чтобы отобразить таблицу ARP.

C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

  Internet Address      Physical Address      Type

  192.168.1.1           d4-8c-b5-ce-a0-c1     dynamic

  192.168.1.255         ff-ff-ff-ff-ff-ff     static

  224.0.0.22            01-00-5e-00-00-16     static

  224.0.0.252           01-00-5e-00-00-fc     static

  239.255.255.250       01-00-5e-7f-ff-fa     static

Примечание. В ОС Windows XP таблица ARP будет пустой (как показано ниже).

C:\Documents and Settings\User1> arp -a No ARP Entries Found.

d. Отправьте эхо-запрос с помощью команды ping с ПК-А на ПК-Б для динамического добавления записей в ARP-кэш.

C:\Documents and Settings\User1> ping 192.168.1.2

Interface: 192.168.1.3 --- 0xb

  Internet Address      Physical Address      Type

  192.168.1.2           00-50-56-be-f6-db     dynamic Назовите физический адрес узла с IP-адресом 192.168.1.2.

____________________________________________________________________________________

Шаг 2:    Настройте записи в ARP-кэш вручную.

Чтобы удалить записи из ARP-кэша, выполните команду arp –d {inet- addr | *}. Можно удалить адреса по отдельности, указав соответствующие IP-адреса, либо стереть сразу все записи с помощью подстановочного символа *.

Убедитесь в том, что ARP-кэш содержит следующие записи: шлюз по умолчанию R1 G0/1 (192.168.1.1), ПК-Б (192.168.1.2) и оба коммутатора (192.168.1.11 и 192.168.1.12).

a.     С ПК-А отправьте эхо-запросы с помощью команды ping на все адреса в таблице адресов.

b.     Убедитесь в том, что все адреса добавлены в ARP-кэш. Если адрес в ARP-кэше отсутствует, отправьте эхо-запрос с помощью команды ping на адрес назначения и проверьте, добавлен ли адрес в ARP-кэш.

C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

  Internet Address      Physical Address      Type

  192.168.1.1           d4-8c-b5-ce-a0-c1     dynamic

  192.168.1.2           00-50-56-be-f6-db     dynamic   192.168.1.11          0c-d9-96-e8-8a-40     dynamic   192.168.1.12          0c-d9-96-d2-40-40     dynamic

  192.168.1.255         ff-ff-ff-ff-ff-ff     static

  224.0.0.22            01-00-5e-00-00-16     static

  224.0.0.252           01-00-5e-00-00-fc     static

  239.255.255.250       01-00-5e-7f-ff-fa     static

c.     Откройте командную строку от имени администратора. Нажмите кнопку Пуск и в поле Найти программы и файлы введите команду cmd. Когда появится значок cmd, нажмите на него правой кнопкой мыши и выберите параметр Запуск от имени администратора. Нажмите кнопку Да, чтобы разрешить этой программе вносить изменения.

Примечание. Пользователям Windows XP для изменения записей в ARP-кэше права администратора не требуются.

d.     В окне командной строки администратора введите arp –d *. Эта команда удалит все записи из ARP-кэша. Убедитесь в том, что все записи из ARP-кэша удалены. Для этого в командной строке введите arp –a.

C:\windows\system32> arp –d *

C:\windows\system32> arp –a No ARP Entries Found.

e.     Подождите несколько минут. Протокол обнаружения соседей снова начинает заполнять ARP-кэш.

C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

  Internet Address      Physical Address      Type

  192.168.1.255         ff-ff-ff-ff-ff-ff     static

Примечание. В Windows XP протокол обнаружения соседей не работает.

f.      С ПК-А отправьте эхо-запрос с помощью команды ping на ПК-Б (192.168.1.2) и коммутаторы (192.168.1.11 и 192.168.1.12), чтобы добавить записи ARP. Убедитесь в том, что все записи ARP добавлены в ARP-кэш.

C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

  Internet Address      Physical Address      Type

  192.168.1.2           00-50-56-be-f6-db     dynamic   192.168.1.11          0c-d9-96-e8-8a-40     dynamic   192.168.1.12          0c-d9-96-d2-40-40     dynamic

  192.168.1.255         ff-ff-ff-ff-ff-ff     static

g.     Запишите физический адрес коммутатора S2.__________________________________________ 

h.     Чтобы удалить отдельную запись ADR, введите команду arp- d inet-addr. Чтобы удалить запись ARP для коммутатора S2, в командной строке введите arp -d 192.168.1.12.

C:\windows\system32> arp –d 192.168.1.12

i.      Чтобы проверить, удалена ли запись ARP для коммутатора S2 из ARP-кэша, введите arp –a.

C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

  Internet Address      Physical Address      Type

  192.168.1.2           00-50-56-be-f6-db     dynamic   192.168.1.11          0c-d9-96-e8-8a-40     dynamic

  192.168.1.255         ff-ff-ff-ff-ff-ff     static

j.      Для добавления отдельной записи ARP введите команду arp –s inet_addr mac_addr. В данном примере будут использоваться IP- и MAC-адреса для коммутатора S2. Используйте MAC-адрес, записанный в шаге g.

C:\windows\system32> arp –s 192.168.1.12 0c-d9-96-d2-40-40

k.     Запись ARP для коммутатора S2 должна добавиться в кэш.

Часть 3: Использование команды show arp в IOS

В Cisco IOS ARP-кэш маршрутизаторов и коммутаторов можно также отображать с помощью команд show arp или show ip arp.

Шаг 1:     Отобразите записи ARP на маршрутизаторе R1.

R1# show arp

Protocol  Address          Age (min)  Hardware Addr   Type   Interface

Internet  192.168.1.1             -   d48c.b5ce.a0c1  ARPA   GigabitEthernet0/1

Internet  192.168.1.2             0   0050.56be.f6db  ARPA   GigabitEthernet0/1 Internet  192.168.1.3             0   0050.56be.768c  ARPA   GigabitEthernet0/1

R1#

Обратите внимание на то, что первая запись интерфейса маршрутизатора G0/1 (шлюз по умолчанию для локальной сети) не имеет срока жизни. Срок жизни — это количество минут (мин), на протяжении которых запись содержалась в ARP-кэше. Для других записей это значение увеличивается. Протокол обнаружения соседей заполняет записи IP- и МАС-адресов на ПК-А и ПК-Б.  

Шаг 2:    Добавьте записи ARP на маршрутизатор R1.

Записи ARP можно добавлять в ARP-таблицу маршрутизатора, отправляя эхо-запросы с помощью команды ping на другие устройства.

a. Отправьте эхо-запрос с помощью команды ping с помощью команды ping на коммутатор S1.

R1# ping 192.168.1.11

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.11, timeout is 2 seconds: .!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms

b. Убедитесь в том, что запись ARP для коммутатора S1 добавлена в таблицу ARP маршрутизатора R1.

R1# show ip arp

Protocol  Address          Age (min)  Hardware Addr   Type   Interface

Internet  192.168.1.1             -   d48c.b5ce.a0c1  ARPA   GigabitEthernet0/1

Internet  192.168.1.2             6   0050.56be.f6db  ARPA   GigabitEthernet0/1

Internet  192.168.1.3             6   0050.56be.768c  ARPA   GigabitEthernet0/1 Internet  192.168.1.11            0   0cd9.96e8.8a40  ARPA   GigabitEthernet0/1

R1#

Шаг 3:     Отобразите записи ARP на коммутаторе S1.

S1# show ip arp

Protocol  Address          Age (min)  Hardware Addr   Type   Interface

Internet  192.168.1.1            46   d48c.b5ce.a0c1  ARPA   Vlan1

Internet  192.168.1.2             8   0050.56be.f6db  ARPA   Vlan1

Internet  192.168.1.3             8   0050.56be.768c  ARPA   Vlan1 Internet  192.168.1.11            -   0cd9.96e8.8a40  ARPA   Vlan1

S1#

Шаг 4:     Добавьте записи ARP на коммутаторе S1.

Записи ARP можно также добавлять в ARP-таблицу коммутатора, отправляя эхо-запросы с помощью команды ping на другие устройства.

a. С коммутатора S1 отправьте эхо-запрос с помощью команды ping на коммутатор S2.

S1# ping 192.168.1.12

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.12, timeout is 2 seconds: .!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/8 ms

b. Убедитесь в том, что запись ARP для коммутатора S2 добавлена в таблицу ARP коммутатора S1.

S1# show ip arp

Protocol  Address          Age (min)  Hardware Addr   Type   Interface

Internet  192.168.1.1             5   d48c.b5ce.a0c1  ARPA   Vlan1

Internet  192.168.1.2            11   0050.56be.f6db  ARPA   Vlan1

Internet  192.168.1.3            11   0050.56be.768c  ARPA   Vlan1

Internet  192.168.1.11            -   0cd9.96e8.8a40  ARPA   Vlan1 Internet  192.168.1.12            2   0cd9.96d2.4040  ARPA   Vlan1

S1#

Часть 4: Анализ обмена сообщениями ARP с помощью программы Wireshark

В части 4 вам предстоит изучить обмен сообщениями ARP, используя программу Wireshark для их захвата и оценки. Кроме того, вы проанализируете задержки сети, вызванные обменом сообщениями ARP между устройствами.

Шаг 1:     Настройте программу Wireshark для захвата пакетов.

a.     Запустите программу Wireshark.

b.     Выберите сетевой интерфейс, который будете использовать для захвата сообщений ARP.

Шаг 2:    Захватите и оцените сообщения ARP.

a.     Начните захват пакетов в программе Wireshark. С помощью фильтра отобразите только пакеты ARP.

b.     Очистите ARP-кэш, набрав в командной строке команду arp –d *.

c.     Убедитесь в том, что ARP-кэш очищен.

d.     Отправьте эхо-запрос с помощью команды ping на шлюз по умолчанию с помощью команды ping 192.168.1.1.

e.     После отправки эхо-запроса на шлюз по умолчанию остановите захват данных программой Wireshark.

f.      В захваченных данных найдите сообщения ARP в панели сведений о пакетах.

Какой пакет ARP был первым? ___________________________

Заполните приведённую ниже таблицу данными первого захваченного пакета ARP.

Какой пакет ARP был вторым? ______________________________  

Заполните приведённую ниже таблицу данными второго захваченного пакета ARP.

Шаг 3:     Проанализируйте задержки сети, вызванные ARP.

a.     Очистите записи ARP на ПК-А.

b.     Начните захват данных программой Wireshark.

c.     Отправьте эхо-запрос с помощью команды ping на коммутатор S2 (192.168.1.12). Эхо-запрос с помощью команды ping, отправленный после первого эхо-запроса, должен быть успешным.

Примечание. Если все эхо-запросы успешны, необходимо перезагрузить коммутатор S1, чтобы просмотреть задержки сети из-за ARP.

C:\Users\User1> ping 192.168.1.12

Request timed out.

Reply from 192.168.1.12: bytes=32 time=2ms TTL=255

Reply from 192.168.1.12: bytes=32 time=2ms TTL=255

Reply from 192.168.1.12: bytes=32 time=2ms TTL=255

 Ping statistics for 192.168.1.12:

    Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),

Approximate round trip times in milli-seconds:

    Minimum = 1ms, Maximum = 3ms, Average = 2ms

d.     После отправления эхо-запросов с помощью команды ping остановите захват данных программой Wireshark. С помощью фильтра отобразите только данные ARP и ICMP. В поле Filter: (Фильтр) программы Wireshark введите arp или icmp.

e.     Изучите захваченные данные. В данном примере кадр 10 — это первый ICMP-кадр, отправленный с ПК-Б на коммутатор S1. Поскольку для коммутатора S1 нет записи ARP, на IP-адрес управления коммутатора S1 был отправлен ARP-запрос на получение МАС-адреса. В процессе обмена данными ARP эхо-запрос с помощью команды ping не получил отклик за отведённое время (кадры 8–12).

После добавления записи ARP для коммутатора S1 в ARP-кэш последние три обмена данными ICMP были успешны, о чем свидетельствуют кадры 26, 27 и 30–33.

Как показано в захвате данных Wireshark, ARP — это яркий пример компромисса производительности. При отсутствии кэша протокол ARP должен непрерывно запрашивать трансляцию адресов каждый раз при помещении кадра в сеть. В этом случае для установления связи прибавляется время ожидания, что может вызвать перегрузку локальной сети.

Вопросы на закрепление

1. Как и когда удаляются статические записи ARP?

_______________________________________________________________________________________ 2. Зачем добавить статические записи ARP в кэш?

_______________________________________________________________________________________

3. Если ARP-запросы способны вызывать задержки сети, почему не рекомендуется снимать ограничения на время ожидания отклика для записей ARP?

_______________________________________________________________________________________

Сводная таблица интерфейса маршрутизатора