怎么深入學習ARP協議

1、mac定義

MAC稱為硬件地址，是網絡中設備的唯一標識符，共計48 bit。比如，我無線MAC地址是8C-A9-82-96-F7-66

在系統里的展現形式是由16進制組成的6組數字組合。例如開頭位的8C 為 8__c 換成2進制位數為 4X2=8位， 8X6=48位。擴展內容：該地址是全球唯一的，沒有重復的MAC地址，如果有重復的MAC地址出現在交換網絡中，那是必定有環路，環路現象則會造成時通是不通或者根本不通。

?

2、局域網內PC通信（IP與MAC）

世界上有一種東西叫電腦，電腦上有LOL，CF，哈哈。IT世界是多么偉大能讓你玩上一種叫游戲的東西。PC之間的通信方式主要取決于硬件的存在和MAC地址和IP地址的使用。

舉例:我們擁有一臺交換機、2臺PC、如何讓這兩臺PC進行通信？那么很簡單，PC配兩個同一網段的地址

lap0: 192.168.1.1/24 lap1：192.168.1.2/24

1>拓撲 單獨兩臺PC掛到同一交換機VLAN1

2>lap0與lap1互ping

3>lap0為什么能和lap1通信？

（1）兩臺lap在同一網段內 （2）在同一VLAN內 （3）PC端通過ARP協議解析到IP與MAC之間的關系。在lap0上已經過arp -a 查詢到lap1 192.168.1.2 的MAC與IP映射關系，所以他們之間才能通信。那么反之lap1上也必然能學到lap0的MAC與IP地址。

3、ARP協議介紹

上面說的挺熱鬧，現在介紹下ARP，即普通但又非常重要的協議。ARP 英文全名為：Address resolution protocol ，地址解析協議，ARP為IP與MAC提供動態映射,過程自動完成。當PC發出通信請求時，根據協議規定，它的目的地址必然是48bit的MAC地址的。MAC并不能和IP直接去通信。那么就需我們的ARP協議來做相應的轉換工作。如下摘自TCP/IP卷1僅供參考

如上在以太網內環境：

1>lap0要想和lap1進行通信，則需要把32位的IP地址轉換為48位的MAC地址。

2>ARP協議屬于廣播網絡，ARP會把自身的請求信息以廣播形式廣播到以網中。

3>lap1收到廣播請求后，回復lap0自身的IP與MAC地址。雙方都建立起對應關系

4、交換機MAC對應關系

PC之間的通信需要通過2層交換機來實現，除了使用ARP協議以外。另外，交換機每個端口本身都有一個MAC地址。當lap0 去ping lap1時，lap0的請求幀到達交換機后會對其進行一個記錄，記錄下MAC地址，再把該請求轉發到lap1。這樣一個來回的請求，就把MAC對應表關系建立起來了。二層交換機只記錄MAC與端口對應關系，一般情況下2層交換機只是做高速交換，當然如果有特殊需求也可根據MAC做一系列的限制類、綁定類的操作。

MAC與端口對應關系：

5、網關下MAC、ARP信息

1>在接入交換機再上連一臺核心，加入網關|192.168.1.254/24。

2>我們先來分析一下：

1、首先交換機之間互聯，端口之間彼此學習相互之間的端口地址?

2、lap0 與 lap1 ping請求包到達網關，核心交換機建立MAC地址表（動態）

3、與此同時，建立起ARP表項，因為網關是不同網段之間通信的接口

4、查看核心、核心交換機的MAC地址表。

在核心學習中，lap0和lap1的MAC地址，以及接入交換機互聯端口的MAC地址都被學習到了。接入交換機MAC地址表：MAC學習到兩臺PC的MAC，與此同時也學習到核心交換機板載MAC地址以及互聯端口地址表。如下圖：

核心交換機 show mad add

接入交換機show mac add

核心交換機show arp，含有IP列、超時時間、MAC地址、所屬VLAN，這些信息對于我們排錯來說特別有幫助。H3C和華為的ARP信息表與思科的基本相似，雖然存在一些微小差異，但整體內容并不會有太大差別。

6、實踐篇ARP欺騙問題處理

如果以太網采用DHCP自動獲取IP地址，那么啟用dhcp snooping會對安全性進行監測，問題不會太多。如果使用靜態IP，那么就很容易出現ARP***、ARP欺騙等麻煩的問題。一旦了解了它的工作原理，解決這類問題就會變得特別容易。

我遇到的情況比較簡單，某一網段下的服務器，時通時不通。經過溝通，排除了可能是網絡結構問題，并確認了服務單網卡沒有進行網卡綁定，核心實行HSRP來接入雙上行冗余。首先對環路進行排除、查看核心生成樹狀態正常、交換機CPU使用率正常、與服務器所在接入交換機互聯端口廣播包并無突發大流量的包，環路排除。其次在服務器下查看ARP表項，發現服務器網關ARP條目異常，MAC地址并不是網關的的MAC。

這是一種ARP欺詐行為，即電腦中存在病毒，它將偽裝成網關并不斷發送廣播包，聲稱是網關，要求將所有數據包轉發到它這里。這樣就會有時斷時通的情況。接下來我們就要揪出這臺中毒的機器，

1>網關下show mac-add | in mac 看其從哪個互聯端口過來并找到該端口下的接入交換機

2>找到該臺接入交換機，繼續查找具體到哪個端口?show mac-add | in mac

3>找到該臺機器，斷網、殺毒或者重半系統，并可以啟用360的ARP防火墻，避免類似事件發生。

? 但最主要的還是殺毒。

4>如果遇到類似傻HUB的那種老的3COM交換機，則需要手工來排除了。

說這么多，其實就是ARP欺騙解決就是中毒機器定位。