Tuesday, January 21, 2025

[Cisco] Proxy ARP

-

Trong bài viết tuần trước chúng ta đã cùng trao đổi về giao thức phân giải địa chỉ ARP.  Trong bài viết tuần này, chúng ta sẽ cùng tiếp tục tìm hiểu về một biến thể của ARP là  Proxy ARP. 

Proxy ARP cho phép một thiết bị mạng trả lời ARP thay cho một địa chỉ IP không tồn tại  trên mạng LAN nhưng thiết bị này biết đường đi đến địa chỉ ấy (route đi đến địa chỉ ấy  tồn tại trong bảng định tuyến của thiết bị đang xét). Như thường lệ, để nắm được vấn đề cần trao đổi, chúng ta xem xét một bài lab ví dụ: Sơ đồ

Hình 1 – Sơ đồ bài lab ví dụ.

Mô tả 

  • Sơ đồ tìm hiểu gồm 4 router, trong đó, hai router R1 và R2 đóng vai trò của các  router định tuyến cho mạng đang xét. Các router PC1 và PC2 sẽ được sử dụng để  giả lập các host trên mạng LAN 192.168.1.0/24 kết nối vào cổng F0/0 của R1. 
  • Chúng ta sẽ thực hiện tắt chức năng định tuyến trên hai router PC1 và PC2 để  “các host” này chỉ có thể đi đến được các mạng bên ngoài thông qua phương thức  Proxy – ARP. Phương thức default – gateway thông thường sẽ không được sử  dụng trong trường hợp này. 
  • Người viết sử dụng các router Cisco dòng 2811với hệ điều hành là “c2800nm adventerprisek9-mz.124-15.T1.bin” để thực hiện bài viết này.

Thực hiện 

Bước 1: Cấu hình cơ bản trên các thiết bị 

Trong bước này, chúng ta thực hiện đặt địa chỉ IP trên các cổng của các router theo quy  hoạch IP được chỉ ra như trên hình vẽ.

Trên R1:

R1(config)#interface f0/0 
R1(config-if)#no shutdown 
R1(config-if)#ip address 192.168.1.1 255.255.255.0 
R1(config-if)#exit 

R1(config)#interface f0/1 
R1(config-if)#no shutdown  
R1(config-if)#ip address 192.168.12.1 255.255.255.252 
R1(config-if)#exit

Trên R2:

R2(config)#interface f0/0 
R2(config-if)#no shutdown  
R2(config-if)#ip address 192.168.12.2 255.255.255.252 
R2(config-if)#exit 

R2(config)#interface f0/1 
R2(config-if)#no shutdown 
R2(config-if)#ip address 192.168.2.1 255.255.255.0 
R2(config-if)#exit

Trên PC1:

PC1(config)#interface f0/0 
PC1(config-if)#no shutdown 
PC1(config-if)#ip address 192.168.1.101 255.255.255.0 
PC1(config-if)#exit

Trên PC2:

PC2(config)#interface f0/0 
PC2(config-if)#no shutdown 
PC2(config-if)#ip address 192.168.1.102 255.255.255.0 
PC2(config-if)#exit

Ta kiểm tra rằng các địa chỉ trong mạng LAN của R1 đã đi đến được nhau:

PC1#ping 192.168.1.1  
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/56/96 ms 

PC1#ping 192.168.1.102 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.1.102, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/68/124 ms

Cũng trong bước này, chúng ta thực hiện chạy định tuyến trên các router để hai mạng  LAN 1 và 2 có thể thấy nhau:

R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.2
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1

Chúng ta thực hiện kiểm tra điều này: 

Các static route vừa cấu hình đã xuất hiện trong bảng định tuyến của R1 và R2:

R1#show ip route static 
S 192.168.2.0/24 [1/0] via 192.168.12.2 
R2#show ip route static 
S 192.168.1.0/24 [1/0] via 192.168.12.1

Hai mạng LAN đã có thể đi đến đươc nhau:

R1#ping 192.168.2.1 source 192.168.1.1 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1  
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/38/60 ms

Đến đây, chúng ta đã hoàn thành cấu hình cơ bản cho sơ đồ lab ví dụ. Bước 2: Default – gateway 

Trong bước 1, chúng ta đã đảm bảo về định tuyến để hai mạng LAN có thể thấy nhau.  Tuy nhiên, chúng ta vẫn chưa thực hiện các thao tác để các host bên trong có thể đi ra  khỏi mạng LAN của chúng nhằm đi đến các subnet khác ở bên ngoài. Trong trường hợp  này, khi ta chưa cấu hình gì thêm, các PC1 và 2 chỉ có thể liên lạc nội bộ trong mạng  LAN của chúng mà không thể giao tiếp được với các địa chỉ IP khác mạng bên ngoài. 

Một giải pháp rất phổ biến trên các PC đầu cuối là chúng ta sẽ cấu hình trên các PC này  địa chỉ của default – gateway chỉ đến router gateway của mạng. Khi đó, mọi gói tin của  PC đi ra khỏi mạng LAN (đi đến IP khác mạng) sẽ được PC đóng frame chuyển đến cho  router default gateway để có thể được chuyển đi tiếp. Frame đi đến gateway sẽ có source  MAC là địa chỉ MAC của PC và destination MAC là địa chỉ MAC trên cổng giao tiếp với  mạng LAN của router.  

Chúng ta cùng cấu hình và thực hiện một số thao tác kiểm tra để nắm rõ ý này: 

Trên “các PC”, chúng ta khai báo default – gateway chỉ đến địa chỉ 192.168.1.1 của R1.  Với router, thao tác này chính là thao tác khai báo default – route với next – hop chính là  IP của R1:

PC1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 
PC2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1

Khi đã khai báo gateway, các PC này đã có thể đi ra khỏi mạng LAN của mình để đến  các địa chỉ khác bên ngoài:

PC1#ping 192.168.2.1 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 64/103/128 ms 

PC2#ping 192.168.2.1 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/98/156 ms

Ta cùng phân tích tiến trình đẩy gói tin ra bên ngoài của các PC, xét ví dụ trên PC1. Khi  PC1 cần phải gửi gói đến địa chỉ 192.168.2.1, nó thấy rằng địa chỉ này khác mạng với nó  và nó không biết cách nào để đi đến được địa chỉ này, PC sẽ thực hiện chuyển gói tin này  lên default – router để router gateway này sẽ chuyển gói đi tiếp theo kết quả định tuyến. 

PC sẽ thực hiện đóng một frame Ethernet để tải gói này, frame này sẽ có source MAC là  địa chỉ MAC trên card mạng của nó và destination MAC là địa chỉ MAC trên cổng F0/0  của router R1. Như đã trình bày trong bài viết trước, ban đầu PC sẽ không thể biết được  MAC nào là MAC trên cổng F0/0 của router để mà đóng gói và nó phải thực hiện phân  giải địa chỉ bằng giao thức ARP để tìm cho ra MAC này. PC sẽ phát broadcast gói ARP  request truy vấn MAC tương ứng với địa chỉ gateway đã khai báo là 192.168.1.1; router  R1 khi nhận được truy vấn sẽ hồi đáp bằng gói ARP reply cho biết địa chỉ MAC trên  cổng F0/0 của nó. PC sẽ cập nhật thông tin này vào ARP cache và từ nay về sau sẽ sử  dụng entry này để đóng frame cho mọi gói tin đi ra khỏi mạng LAN để đến nơi khác. 

Ta quan sát kết quả phân giải ARP của PC1:

PC1#show arp 
Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.1.101 - 0017.e0bf.e440 ARPA FastEthernet0/0 Internet 192.168.1.102 59 0021.a053.94d0 ARPA FastEthernet0/0 Internet 192.168.1.1 60 0021.a03b.d828 ARPA FastEthernet0/0 

R1#show interfaces f0/0 | inc bia 
 Hardware is MV96340 Ethernet, address is 0021.a03b.d828 (bia 0021.a03b.d828)

Ta thấy PC1 đã cập nhật trong bảng ARP cache của nó địa chỉ IP và địa chỉ MAC trên  cổng F0/0 của R1. 

Về bản chất, khi sử dụng phương thức default – gateway, PC đã hoạt động như một  router. Router PC này khai báo một default – route trỏ đển router gateway của mạng  LAN và sử dụng default – router này để đi đến mọi đích đến có IP khác mạng với nó.  Hoạt động ARP được sử dụng để ánh xạ địa chỉ MAC của IP next hop trong default – route này. 

Ngày này, đa số các hệ điều hành cài trên các máy tính cá nhân đều sử dụng phương thức  default gateway để giúp cho máy tính có thể đi ra khỏi mạng LAN của nó truy nhập đến  các tài nguyên bên ngoài. Tuy nhiên, vẫn còn một phương thức khác cho phép PC đi ra  được mạng bên ngoài mà không cần phải khai báo default – gateway và vì vậy không cần  phải hoạt động như một router mini, đó là phương thức sử dụng Proxy ARP. Chúng ta  cùng trao đổi về Proxy ARP trong bước tiếp theo.

Bước 3: Proxy ARP 

Với phương thức Proxy ARP, các PC sẽ không hoạt động như một router mini và không  cần phải trỏ default – route về router gateway (tức là không cần phải khai báo default  gateway nữa). 

Khi cần gửi một gói tin đi ra bên ngoài, PC vẫn phải tìm cách đẩy gói tin này lên router  để đi tiếp và sẽ vẫn thực hiện đóng gói gói tin này vào một Ethernet frame có source  MAC là MAC của PC và destination MAC là MAC của router để chuyển nó lên router.  Tuy nhiên, hoạt động phân giải địa chỉ ARP của PC lúc này hoàn toàn khác, nó sẽ thực  hiện phân giải ARP để tìm kiếm MAC tương ứng với địa chỉ IP đích đến chứ không phải  IP của router như với trường hợp sử dụng phương thức default gateway. Tất nhiên, địa  chỉ IP đích đến này không tồn tại trên mạng LAN nên sẽ không có thực thể nào hồi đáp  ARP Reply cho IP này. Nếu router được bật tính năng Proxy ARP, nó sẽ kiểm tra trong  bảng định tuyến xem có route nào phù hợp với IP đích đến không, nếu có, router sẽ trả lời  ARP Reply cho ARP Request vừa nêu của PC và trả về địa chỉ MAC của nó. Kết quả, PC  sẽ cập nhật trong bảng ARP cache của nó địa chỉ MAC của router cho IP đích đến bên  ngoài và như vậy có thể đóng frame được gói tin đi ra ngoài để chuyển lên cho router. 

Chúng ta cùng tiến hành trên lab: 

Đầu tiên, ta tắt chức năng routing trên PC1 và PC2, hai PC này lúc này không còn hoạt  động như một router nữa mà là một host thực sự: 

PC1(config)#no ip routing 
PC2(config)#no ip routing

Để router có thể đại diện trả lới ARP Reply cho các IP không có trên mạng LAN, chúng  ta cần bật tính năng Proxy ARP trên cổng giao tiếp với mạng LAN của router:

R1(config)#interface f0/0  
R1(config-if)#ip proxy-arp  
R1(config-if)#exit

Tính năng Proxy – ARP mặc định được bật trên các cổng Ethernet của router Cisco nên  ta có thể không cần phải cấu hình lệnh này. 

Ta kiểm tra rằng các host PC1 và PC2 vẫn đi đến được LAN 2:

PC1#ping 192.168.2.1 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/243/1040 ms 

PC2#ping 192.168.2.1 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/241/1048 ms

Ta kiểm tra kết quả phân giải ARP trên các PC, xét ví dụ PC1:

PC1#show arp 
Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.1.101 - 0017.e0bf.e440 ARPA FastEthernet0/0 Internet 192.168.1.102 0 0021.a053.94d0 ARPA FastEthernet0/0 Internet 192.168.2.1 3 0021.a03b.d828 ARPA FastEthernet0/0 

R1#show interfaces f0/0 | inc bia 
 Hardware is MV96340 Ethernet, address is 0021.a03b.d828 (bia 0021.a03b.d828)

Ta thấy địa chỉ IP đích đến 192.168.2.1 đã được ánh xạ vào địa chỉ MAC trên cổng F0/0  của R1, R1 đã đại diện cho địa chỉ IP này để trả lời ARP của PC1. Điều này sẽ được thực  hiện với mọi địa chỉ khác ở bên ngoài mạng LAN mà PC1 cần đi đến. Ta có thể kiểm  chứng bằng cách tạo thêm một subnet bên ngoài, thực hiện định tuyến giữa hai router và  ping đến địa chỉ mới này từ PC1:

R2(config)#interface loopback 0 
R2(config-if)#ip address 192.168.22.1 255.255.255.0 

R2(config-if)#exit 
R1(config)#ip route 192.168.22.0 255.255.255.0 192.168.12.2 

PC1#ping 192.168.22.1 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.22.1, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/259/1076 ms

Bảng ARP của PC1:

PC1#show arp 
Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.1.101 - 0017.e0bf.e440 ARPA FastEthernet0/0 Internet 192.168.1.102 15 0021.a053.94d0 ARPA FastEthernet0/0 Internet 192.168.2.1 18 0021.a03b.d828 ARPA FastEthernet0/0 Internet 192.168.22.1 2 0021.a03b.d828 ARPA FastEthernet0/0

Ta thấy các địa chỉ đích đến ở ngoài mạng đều đã được phân giải về địa chỉ MAC của  cổng F0/0 router R1. 

Tóm lại, với phương thức Proxy ARP, các PC sẽ thực hiện phân giải cho địa chỉ IP đích  đến tương ứng với địa chỉ MAC của cổng đấu nối của router; chứ không thực hiện phân  giải địa chỉ MAC cho địa chỉ IP của router như với trường hợp default gateway nữa. 

Ngày nay, đa số các trường hợp thiết lập đi ra bên ngoài cho các host bên trong sử dụng  phương thức default – gateway và ít khi sử dụng phương thức Proxy – ARP. Tuy nhiên,  nắm vững cách thức hoạt động của Proxy – ARP sẽ giúp chúng ta hiểu sâu hơn về hoạt  động của các hệ thống mạng cũng như của một giao thức rất nền tảng là giao thức phân  giải địa chỉ ARP. 

Cảm ơn các bạn! 

Hẹn gặp lại các bạn trong các bài viết tiếp theo!

LEAVE A REPLY

Please enter your comment!
Please enter your name here

4,956FansLike
256FollowersFollow
223SubscribersSubscribe
spot_img

Related Stories