Просмотр arp с помощью программы wireshark интерфейсов командной строки windows и ios

Обновлено: 07.07.2024

Пришла пора нам разобраться, как выглядит ARP-трафик под микроскопом, имя которому Wireshark. Будучи пакетным сниффером и фильтром, Шарк предоставляет огромные возможности для изучения сетевых протоколов и всего, что происходит “по ту сторону”. Понемногу мы и ликвидируем белые пятна и начинаем лучше разбираться в сетях.

Несмотря на то, что Wireshark можно использовать в различных целях, не всегда благочестивых, мы будем закрывать глаза на “тёмную” сторону, используя этот инструмент только в образовательных целях.

Итак, ARP-протокол. Иначе говоря Adress Resolution Protocol – протокол разрешения адреса.

Немного расскажу о том, для чего предназначен этот протокол.

Передавать фреймы в сети Ethernet можно используя аппаратные (далее MAC) адреса. То есть это не сетевой (IP) адрес вида 192.168.0.1, а нечто более сложное, вида 00:00:00:c1:d9:26.

Существует так же соглашение, по которому первые три байта отводятся под производителя сетевого оборудования, а следующие три байта – под уникальный идентификатор устройства. Такой адрес имеют все сетевые устройства, разработанные для сети Ethernet.

Кстати, загадка. Что имеет порт RJ45, но не имеет MAC-адреса?

ответ: обжимка (патч-панель)

Принцип работы такой. Компьютер, которому требуется передать данные в сети имеет IP адрес (свой, собственный), а так же IP адрес получателя. Но передавать данные можно только имея MAC-адреса. Поэтому компьютер, инициирующий соединение посылает широковещательный ARP запрос вида:


Who has <IP-addr>? Tell <Self IP-addr>

где спрашивает, “Эй, парни! У кого IP такой-то? Сообщите мне”, и этот пакет посылается на ff:ff:ff:ff:ff:ff (широковещательно), то есть всем узлам в сети. Каждый компьютер в сети получает этот пакет и смотрит, принадлежит ли указанный IP какому-либо из его интерфейсов. Если принадлежит, то на MAC адрес отправителя (он известен из заголовка пакета), отправляется пакет с ответом (reply).

Компьютер, получивший ответ, для передачи на целевой IP будет посылать данные на MAC адрес отправителя пакета ответа.


Очень распространена, кстати, атака вида MITM (Man in the Middle), когда компьютер злоумышленника отвечает вместо целевого компьютера (раньше его) и обмен между двумя узлами происходит через посредника, прослушивающего весь трафик. Реализацию такой атаки я демонстрировал в ранней статьеARP-Spoofing.

Как видите, протокол весьма прост, базируется на процедуре “Вопрос-Ответ”. Существуют также различные “надстройки” над протоколом, позволяющие предотвращать использование повторяющихся адресов в сети:

В этом случае, система при запуске посылает ARP запрос со своим же IP адресом, но не отвечает на него. Если кто-то в сети ответит на этот ARP (не считая глюков), то считается, что такой IP адрес в сети уже используется и время подумать об APIPA.

Лабораторная работа: просмотр ARP с помощью интерфейса командной строки Windows, интерфейса командной строки IOS и Wireshark

Протокол разрешения адресов (ARP) используется протоколом TCP/IP для сопоставления IP-адреса уровня 3 с МАС-адресом уровня 2. Когда кадр помещается в сеть, он должен содержать MAC-адрес назначения. Для динамического определения MAC-адреса устройства назначения по локальной сети отправляется широковещательный запрос ARP. Устройство, которое содержит IP-адрес назначения, отвечает, и MAC-адрес записывается в ARP-кэш. Каждое устройство в локальной сети имеет собственный ARP-кэш или небольшой участок в ОЗУ, где хранятся результаты ARP. Таймер ARP-кэша удаляет ARP-записи, которые не использовались в течение определённого периода времени.

ARP — яркий пример компромисса производительности. При отсутствии кэша протокол ARP должен непрерывно запрашивать трансляцию адресов каждый раз при помещении кадра в сеть. В этом случае для установления связи прибавляется время ожидания, что может вызвать перегрузку локальной сети. И наоборот, неограниченное время ожидания может привести к ошибкам устройств, которые покидают сеть или меняют адрес уровня 3.

Администратор сети должен знать о протоколе ARP, даже если не может с ним взаимодействовать на регулярной основе. ARP — это протокол, который позволяет сетевым устройствам обмениваться данными с протоколом TCP/IP. Без него невозможно эффективно построить датаграмму для адреса назначения уровня 2. Кроме того, ARP может создавать риски для безопасности. Хакеры используют ARP-спуфинг, или «отравление» ARP-кэша, для внедрения в сети неверных МАС-адресов. Злоумышленник генерирует ложный MAC-адрес устройства, в результате чего кадры передаются на неверный адрес назначения. Ручная конфигурация статических связей ARP — это один из способов предотвращения атак на основе протокола ARP. И, наконец, для предотвращения несанкционированного доступа к сети на устройствах Cisco можно настроить список авторизированных МАС-адресов.

В данной лабораторной работе вам предстоит открыть таблицу ARP с помощью команд ARP в маршрутизаторах Windows и Cisco. Кроме того, вы очистите ARP-кэш и добавите статические записи ARP.

Примечание. Маршрутизаторы, используемые на практических занятиях CCNA: маршрутизаторы с интеграцией сервисов серии Cisco 1941 (ISR) установленной версии Cisco IOS 15.2(4) M3 (образ universalk9). Используемые коммутаторы: семейство коммутаторов Cisco Catalyst 2960 версии CISCO IOS 15.0(2) (образ lanbasek9). Можно использовать другие маршрутизаторы, коммутаторы и версии CISCO IOS. В зависимости от модели и версии Cisco IOS выполняемые доступные команды и выводы могут отличаться от данных, полученных в ходе лабораторных работ. Точные идентификаторы интерфейса см. в таблице сводной информации об интерфейсах маршрутизаторов в конце данной лабораторной работы.

Примечание. Убедитесь, что информация, имеющаяся на маршрутизаторе и коммутаторе, удалена и они не содержат файлов загрузочной конфигурации. Если вы не уверены, что сможете это сделать, обратитесь к инструктору.

• 1 маршрутизатор (Cisco 1941 с универсальным образом M3 версии CISCO IOS 15.2(4) или аналогичным)

• 2 коммутатора (Cisco 2960, ПО CISCO IOS версии 15.0(2), образ lanbasek9 или аналогичный)

• Два ПК (Windows 7, Vista или XP с установленным эмулятором терминала, например Tera Term, и программой Wireshark)

• Консольные кабели для настройки устройств CISCO IOS через консольные порты

• Кабели Ethernet в соответствии с топологией

Примечание. Интерфейсы Fast Ethernet на коммутаторах Cisco 2960 определяют тип подключения автоматически, поэтому между коммутаторами S1 и S2 можно использовать прямой кабель Ethernet.

При использовании коммутатора Cisco другой модели может потребоваться кроссовый кабель Ethernet.

Шаг 1: Подключите сеть в соответствии с топологией.

Шаг 2: Настройте IP-адреса устройств в соответствии с таблицей адресации.

Шаг 3: Проверьте подключение к сети, отправив с ПК-Б эхо-запросы с помощью команды ping на все устройства.

Команда arp позволяет пользователю просматривать и изменять ARP-кэш в ОС Windows. Команда вводится в командную строку Windows.

Шаг 1: Отобразите ARP-кэш.

a. Откройте окно командной строки на ПК-А и введите arp.

C:\Users\User1> arp

Displays and modifies the IP-to-Physical address translation tables used by address resolution protocol (ARP).

ARP -s inet_addr eth_addr [if_addr]

ARP -d inet_addr [if_addr]

ARP -a [inet_addr] [-N if_addr] [-v]

-a Displays current ARP entries by interrogating the current protocol data. If inet_addr is specified, the IP and Physical addresses for only the specified computer are displayed. If more than one network interface uses ARP, entries for each ARP table are displayed. -g Same as -a. -v Displays current ARP entries in verbose mode. All invalid entries and entries on the loop-back interface will be shown. inet_addr Specifies an internet address. -N if_addr Displays the ARP entries for the network interface specified by if_addr. -d Deletes the host specified by inet_addr. inet_addr may be wildcarded with * to delete all hosts. -s Adds the host and associates the Internet address inet_addr with the Physical address eth_addr. The Physical address is given as 6 hexadecimal bytes separated by hyphens. The entry is permanent. eth_addr Specifies a physical address.

if_addr If present, this specifies the Internet address of the interface whose address translation table should be modified. If not present, the first applicable interface will be used. Example:

> arp -s 157.55.85.212 00-aa-00-62-c6-09 . Adds a static entry.

> arp -a . Displays the arp table. b. Изучите выходные данные.

Какая команда позволяет отобразить все записи в ARP-кэше? _______________________________ Какая команда позволяет удалить все записи в ARP-кэше (очистить ARP-кэш)? ________________ Какая команда позволяет удалить все записи в ARP-кэше для 192.168.1.11?

c. Введите arp —a, чтобы отобразить таблицу ARP.

C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type

192.168.1.1 d4-8c-b5-ce-a0-c1 dynamic

192.168.1.255 ff-ff-ff-ff-ff-ff static

224.0.0.22 01-00-5e-00-00-16 static

224.0.0.252 01-00-5e-00-00-fc static

239.255.255.250 01-00-5e-7f-ff-fa static

Примечание. В ОС Windows XP таблица ARP будет пустой (как показано ниже).

C:\Documents and Settings\User1> arp -a No ARP Entries Found.

d. Отправьте эхо-запрос с помощью команды ping с ПК-А на ПК-Б для динамического добавления записей в ARP-кэш.

C:\Documents and Settings\User1> ping 192.168.1.2

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type

192.168.1.2 00-50-56-be-f6-db dynamic Назовите физический адрес узла с IP-адресом 192.168.1.2.

Шаг 2: Настройте записи в ARP-кэш вручную.

Чтобы удалить записи из ARP-кэша, выполните команду arp –d . Можно удалить адреса по отдельности, указав соответствующие IP-адреса, либо стереть сразу все записи с помощью подстановочного символа * .

Убедитесь в том, что ARP-кэш содержит следующие записи: шлюз по умолчанию R1 G0/1 (192.168.1.1), ПК-Б (192.168.1.2) и оба коммутатора (192.168.1.11 и 192.168.1.12).

a. С ПК-А отправьте эхо-запросы с помощью команды ping на все адреса в таблице адресов.

b. Убедитесь в том, что все адреса добавлены в ARP-кэш. Если адрес в ARP-кэше отсутствует, отправьте эхо-запрос с помощью команды ping на адрес назначения и проверьте, добавлен ли адрес в ARP-кэш.

C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type

192.168.1.1 d4-8c-b5-ce-a0-c1 dynamic

192.168.1.255 ff-ff-ff-ff-ff-ff static

224.0.0.22 01-00-5e-00-00-16 static

224.0.0.252 01-00-5e-00-00-fc static

239.255.255.250 01-00-5e-7f-ff-fa static

Примечание. Пользователям Windows XP для изменения записей в ARP-кэше права администратора не требуются.


d. В окне командной строки администратора введите arp –d *. Эта команда удалит все записи из ARP-кэша. Убедитесь в том, что все записи из ARP-кэша удалены. Для этого в командной строке введите arp –a.

C:\windows\system32> arp –d *

C:\windows\system32> arp –a No ARP Entries Found.

e. Подождите несколько минут. Протокол обнаружения соседей снова начинает заполнять ARP-кэш.

C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type

192.168.1.255 ff-ff-ff-ff-ff-ff static

Примечание. В Windows XP протокол обнаружения соседей не работает.

f. С ПК-А отправьте эхо-запрос с помощью команды ping на ПК-Б (192.168.1.2) и коммутаторы (192.168.1.11 и 192.168.1.12), чтобы добавить записи ARP. Убедитесь в том, что все записи ARP добавлены в ARP-кэш.

C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type

192.168.1.255 ff-ff-ff-ff-ff-ff static

g. Запишите физический адрес коммутатора S2.__________________________________________

h. Чтобы удалить отдельную запись ADR, введите команду arp- d inet-addr. Чтобы удалить запись ARP для коммутатора S2, в командной строке введите arp -d 192.168.1.12.

C:\windows\system32> arp –d 192.168.1.12

i. Чтобы проверить, удалена ли запись ARP для коммутатора S2 из ARP-кэша, введите arp –a.

C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type

192.168.1.255 ff-ff-ff-ff-ff-ff static

j. Для добавления отдельной записи ARP введите команду arp –s inet_addr mac_addr. В данном примере будут использоваться IP- и MAC-адреса для коммутатора S2. Используйте MAC-адрес, записанный в шаге g.

C:\windows\system32> arp –s 192.168.1.12 0c-d9-96-d2-40-40

k. Запись ARP для коммутатора S2 должна добавиться в кэш.

В Cisco IOS ARP-кэш маршрутизаторов и коммутаторов можно также отображать с помощью команд show arp или show ip arp.

Шаг 1: Отобразите записи ARP на маршрутизаторе R1.

Protocol Address Age (min) Hardware Addr Type Interface

Internet 192.168.1.1 - d48c.b5ce.a0c1 ARPA GigabitEthernet0/1

Internet 192.168.1.2 0 0050.56be.f6db ARPA GigabitEthernet0/1 Internet 192.168.1.3 0 0050.56be.768c ARPA GigabitEthernet0/1

Обратите внимание на то, что первая запись интерфейса маршрутизатора G0/1 (шлюз по умолчанию для локальной сети) не имеет срока жизни. Срок жизни — это количество минут (мин), на протяжении которых запись содержалась в ARP-кэше. Для других записей это значение увеличивается. Протокол обнаружения соседей заполняет записи IP- и МАС-адресов на ПК-А и ПК-Б.

Шаг 2: Добавьте записи ARP на маршрутизатор R1.

Записи ARP можно добавлять в ARP-таблицу маршрутизатора, отправляя эхо-запросы с помощью команды ping на другие устройства.

a. Отправьте эхо-запрос с помощью команды ping с помощью команды ping на коммутатор S1.

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.11, timeout is 2 seconds: .

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms

b. Убедитесь в том, что запись ARP для коммутатора S1 добавлена в таблицу ARP маршрутизатора R1.

Protocol Address Age (min) Hardware Addr Type Interface

Internet 192.168.1.1 - d48c.b5ce.a0c1 ARPA GigabitEthernet0/1

Internet 192.168.1.2 6 0050.56be.f6db ARPA GigabitEthernet0/1

Internet 192.168.1.3 6 0050.56be.768c ARPA GigabitEthernet0/1 Internet 192.168.1.11 0 0cd9.96e8.8a40 ARPA GigabitEthernet0/1

Шаг 3: Отобразите записи ARP на коммутаторе S1.

Protocol Address Age (min) Hardware Addr Type Interface

Internet 192.168.1.1 46 d48c.b5ce.a0c1 ARPA Vlan1

Internet 192.168.1.2 8 0050.56be.f6db ARPA Vlan1

Internet 192.168.1.3 8 0050.56be.768c ARPA Vlan1 Internet 192.168.1.11 - 0cd9.96e8.8a40 ARPA Vlan1

Шаг 4: Добавьте записи ARP на коммутаторе S1.

Записи ARP можно также добавлять в ARP-таблицу коммутатора, отправляя эхо-запросы с помощью команды ping на другие устройства.

a. С коммутатора S1 отправьте эхо-запрос с помощью команды ping на коммутатор S2.

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.12, timeout is 2 seconds: .

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/8 ms

b. Убедитесь в том, что запись ARP для коммутатора S2 добавлена в таблицу ARP коммутатора S1.

Protocol Address Age (min) Hardware Addr Type Interface

Internet 192.168.1.1 5 d48c.b5ce.a0c1 ARPA Vlan1

Internet 192.168.1.2 11 0050.56be.f6db ARPA Vlan1

Internet 192.168.1.3 11 0050.56be.768c ARPA Vlan1

Internet 192.168.1.11 - 0cd9.96e8.8a40 ARPA Vlan1 Internet 192.168.1.12 2 0cd9.96d2.4040 ARPA Vlan1

Шаг 1: Настройте программу Wireshark для захвата пакетов.

a. Запустите программу Wireshark.

a. Начните захват пакетов в программе Wireshark. С помощью фильтра отобразите только пакеты ARP.

b. Очистите ARP-кэш, набрав в командной строке команду arp –d *.

c. Убедитесь в том, что ARP-кэш очищен.

d. Отправьте эхо-запрос с помощью команды ping на шлюз по умолчанию с помощью команды ping 192.168.1.1.

e. После отправки эхо-запроса на шлюз по умолчанию остановите захват данных программой Wireshark.

Какой пакет ARP был первым? ___________________________


Заполните приведённую ниже таблицу данными первого захваченного пакета ARP.

MAC-адрес отправителя

IP-адрес отправителя

MAC-адрес назначения

IP-адрес назначения

Какой пакет ARP был вторым? ______________________________


Заполните приведённую ниже таблицу данными второго захваченного пакета ARP.

MAC-адрес отправителя

IP-адрес отправителя

MAC-адрес назначения

IP-адрес назначения

Шаг 3: Проанализируйте задержки сети, вызванные ARP.

a. Очистите записи ARP на ПК-А.

b. Начните захват данных программой Wireshark.

c. Отправьте эхо-запрос с помощью команды ping на коммутатор S2 (192.168.1.12). Эхо-запрос с помощью команды ping, отправленный после первого эхо-запроса, должен быть успешным.

Примечание. Если все эхо-запросы успешны, необходимо перезагрузить коммутатор S1, чтобы просмотреть задержки сети из-за ARP.

C:\Users\User1> ping 192.168.1.12

Request timed out.

Reply from 192.168.1.12: bytes=32 time=2ms TTL=255

Reply from 192.168.1.12: bytes=32 time=2ms TTL=255

Reply from 192.168.1.12: bytes=32 time=2ms TTL=255

Ping statistics for 192.168.1.12:

Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),

Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 3ms, Average = 2ms

d. После отправления эхо-запросов с помощью команды ping остановите захват данных программой Wireshark. С помощью фильтра отобразите только данные ARP и ICMP. В поле Filter: (Фильтр) программы Wireshark введите arp или icmp.

e. Изучите захваченные данные. В данном примере кадр 10 — это первый ICMP-кадр, отправленный с ПК-Б на коммутатор S1. Поскольку для коммутатора S1 нет записи ARP, на IP-адрес управления коммутатора S1 был отправлен ARP-запрос на получение МАС-адреса. В процессе обмена данными ARP эхо-запрос с помощью команды ping не получил отклик за отведённое время (кадры 8–12).

После добавления записи ARP для коммутатора S1 в ARP-кэш последние три обмена данными ICMP были успешны, о чем свидетельствуют кадры 26, 27 и 30–33.

Как показано в захвате данных Wireshark, ARP — это яркий пример компромисса производительности. При отсутствии кэша протокол ARP должен непрерывно запрашивать трансляцию адресов каждый раз при помещении кадра в сеть. В этом случае для установления связи прибавляется время ожидания, что может вызвать перегрузку локальной сети.


Вопросы на закрепление

1. Как и когда удаляются статические записи ARP?

_______________________________________________________________________________________ 2. Зачем добавить статические записи ARP в кэш?

3. Если ARP-запросы способны вызывать задержки сети, почему не рекомендуется снимать ограничения на время ожидания отклика для записей ARP?

Сводная таблица интерфейса маршрутизатора

Общие сведения об интерфейсах маршрутизаторов

Модель маршрутизатора

Fast Ethernet 0/0 (F0/0)

Fast Ethernet 0/1 (F0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

Gigabit Ethernet 0/0 (G0/0)

Gigabit Ethernet 0/1 (G0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

Fast Ethernet 0/0 (F0/0)

Fast Ethernet 0/1 (F0/1)

Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

Fast Ethernet 0/0 (F0/0)

Fast Ethernet 0/1 (F0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

Gigabit Ethernet 0/0 (G0/0)

Gigabit Ethernet 0/1 (G0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

Примечание. Чтобы узнать, каким образом настроен маршрутизатор, изучите интерфейсы для определения типа маршрутизатора и количества имеющихся на нём интерфейсов. Не существует эффективного способа перечислить все комбинации настроек для каждого класса маршрутизаторов. Эта таблица включает в себя идентификаторы возможных сочетаний Ethernet и последовательных интерфейсов в устройстве. В таблицу интерфейсов не включены иные типы интерфейсов, даже если они присутствуют на каком-либо определённом маршрутизаторе. В качестве примера можно привести интерфейс ISDN BRI. Строка в скобках — это принятое сокращение, которое может использоваться в командах IOS для представления интерфейса.

2 Исходные данные/сценарий Протокол разрешения адресов (ARP) используется протоколом TCP/IP для сопоставления IP-адреса уровня 3 с МАС-адресом уровня 2. Когда кадр помещается в сеть, он должен содержать MAC-адрес назначения. Для динамического определения MAC-адреса устройства назначения по локальной сети отправляется широковещательный запрос ARP. Устройство, которое содержит IP-адрес назначения, отвечает, и MAC-адрес записывается в ARP-кэш. Каждое устройство в локальной сети имеет собственный ARP-кэш или небольшой участок в ОЗУ, где хранятся результаты ARP. Таймер ARP-кэша удаляет ARP-записи, которые не использовались в течение определённого периода времени. ARP яркий пример компромисса производительности. При отсутствии кэша протокол ARP должен непрерывно запрашивать трансляцию адресов каждый раз при помещении кадра в сеть. В этом случае для установления связи прибавляется время ожидания, что может вызвать перегрузку локальной сети. И наоборот, неограниченное время ожидания может привести к ошибкам устройств, которые покидают сеть или меняют адрес уровня 3. Администратор сети должен знать о протоколе ARP, даже если не может с ним взаимодействовать на регулярной основе. ARP это протокол, который позволяет сетевым устройствам обмениваться данными с протоколом TCP/IP. Без него невозможно эффективно построить датаграмму для адреса назначения уровня 2. Кроме того, ARP может создавать риски для безопасности. Хакеры используют ARP-спуфинг, или «отравление» ARP-кэша, для внедрения в сети неверных МАС-адресов. Злоумышленник генерирует ложный MAC-адрес устройства, в результате чего кадры передаются на неверный адрес назначения. Ручная конфигурация статических связей ARP это один из способов предотвращения атак на основе протокола ARP. И, наконец, для предотвращения несанкционированного доступа к сети на устройствах Cisco можно настроить список авторизированных МАС-адресов. В данной лабораторной работе вам предстоит открыть таблицу ARP с помощью команд ARP в маршрутизаторах Windows и Cisco. Кроме того, вы очистите ARP-кэш и добавите статические записи ARP. Примечание. Маршрутизаторы, используемые на практических занятиях CCNA: маршрутизаторы с интеграцией сервисов серии Cisco 1941 (ISR) установленной версии Cisco IOS 15.2(4) M3 (образ universalk9). Используемые коммутаторы: семейство коммутаторов Cisco Catalyst 2960 версии CISCO IOS 15.0(2) (образ lanbasek9). Можно использовать другие маршрутизаторы, коммутаторы и версии CISCO IOS. В зависимости от модели и версии Cisco IOS выполняемые доступные команды и выводы могут отличаться от данных, полученных в ходе лабораторных работ. Точные идентификаторы интерфейса см. в таблице сводной информации об интерфейсах маршрутизаторов в конце данной лабораторной работы. Примечание. Убедитесь, что информация, имеющаяся на маршрутизаторе и коммутаторе, удалена и они не содержат файлов загрузочной конфигурации. Если вы не уверены, что сможете это сделать, обратитесь к инструктору. Необходимые ресурсы 1 маршрутизатор (Cisco 1941 с универсальным образом M3 версии CISCO IOS 15.2(4) или аналогичным) 2 коммутатора (Cisco 2960, ПО CISCO IOS версии 15.0(2), образ lanbasek9 или аналогичный) Два ПК (Windows 7, Vista или XP с установленным эмулятором терминала, например Tera Term, и программой Wireshark) Консольные кабели для настройки устройств CISCO IOS через консольные порты Кабели Ethernet в соответствии с топологией Примечание. Интерфейсы Fast Ethernet на коммутаторах Cisco 2960 определяют тип подключения автоматически, поэтому между коммутаторами S1 и S2 можно использовать прямой кабель Ethernet. При использовании коммутатора Cisco другой модели может потребоваться кроссовый кабель Ethernet. В данном документе содержится общедоступная информация корпорации Cisco. Стр. 2 из 12

3 Часть 1: Создание и настройка сети Шаг 1: Шаг 2: Шаг 3: Подключите сеть в соответствии с топологией. Настройте IP-адреса устройств в соответствии с таблицей адресации. Проверьте подключение к сети, отправив с ПК-Б эхо-запросы с помощью команды ping на все устройства. Часть 2: Использование команды ARP в ОС Windows Команда arp позволяет пользователю просматривать и изменять ARP-кэш в ОС Windows. Команда вводится в командную строку Windows. Шаг 1: Отобразите ARP-кэш. a. Откройте окно командной строки на ПК-А и введите arp. C:\Users\User1> arp Displays and modifies the IP-to-Physical address translation tables used by address resolution protocol (ARP). ARP -s inet_addr eth_addr [if_addr] ARP -d inet_addr [if_addr] ARP -a [inet_addr] [-N if_addr] [-v] -a Displays current ARP entries by interrogating the current protocol data. If inet_addr is specified, the IP and Physical addresses for only the specified computer are displayed. If more than one network interface uses ARP, entries for each ARP table are displayed. -g Same as -a. -v Displays current ARP entries in verbose mode. All invalid entries and entries on the loop-back interface will be shown. inet_addr Specifies an internet address. -N if_addr Displays the ARP entries for the network interface specified by if_addr. -d Deletes the host specified by inet_addr. inet_addr may be wildcarded with * to delete all hosts. -s Adds the host and associates the Internet address inet_addr with the Physical address eth_addr. The Physical address is given as 6 hexadecimal bytes separated by hyphens. The entry is permanent. eth_addr Specifies a physical address. if_addr If present, this specifies the Internet address of the interface whose address translation table should be modified. If not present, the first applicable interface will be used. Example: > arp -s aa c Adds a static entry. В данном документе содержится общедоступная информация корпорации Cisco. Стр. 3 из 12

4 > arp -a. Displays the arp table. b. Изучите выходные данные. Какая команда позволяет отобразить все записи в ARP-кэше? Какая команда позволяет удалить все записи в ARP-кэше (очистить ARP-кэш)? Какая команда позволяет удалить все записи в ARP-кэше для ? c. Введите arp a, чтобы отобразить таблицу ARP. C:\Users\User1> arp a Interface: xb Internet Address Physical Address Type d4-8c-b5-ce-a0-c1 dynamic ff-ff-ff-ff-ff-ff static e static e fc static e-7f-ff-fa static Примечание. В ОС Windows XP таблица ARP будет пустой (как показано ниже). C:\Documents and Settings\User1> arp -a No ARP Entries Found. d. Отправьте эхо-запрос с помощью команды ping с ПК-А на ПК-Б для динамического добавления записей в ARP-кэш. C:\Documents and Settings\User1> ping Interface: xb Internet Address Physical Address Type be-f6-db dynamic Назовите физический адрес узла с IP-адресом Шаг 2: Настройте записи в ARP-кэш вручную. Чтобы удалить записи из ARP-кэша, выполните команду arp d . Можно удалить адреса по отдельности, указав соответствующие IP-адреса, либо стереть сразу все записи с помощью подстановочного символа *. Убедитесь в том, что ARP-кэш содержит следующие записи: шлюз по умолчанию R1 G0/1 ( ), ПК-Б ( ) и оба коммутатора ( и ). a. С ПК-А отправьте эхо-запросы с помощью команды ping на все адреса в таблице адресов. b. Убедитесь в том, что все адреса добавлены в ARP-кэш. Если адрес в ARP-кэше отсутствует, отправьте эхо-запрос с помощью команды ping на адрес назначения и проверьте, добавлен ли адрес в ARP-кэш. C:\Users\User1> arp a Interface: xb Internet Address Physical Address Type d4-8c-b5-ce-a0-c1 dynamic В данном документе содержится общедоступная информация корпорации Cisco. Стр. 4 из 12

9 Заполните приведённую ниже таблицу данными первого захваченного пакета ARP. Поле Значение MAC-адрес отправителя IP-адрес отправителя MAC-адрес назначения IP-адрес назначения Какой пакет ARP был вторым? В данном документе содержится общедоступная информация корпорации Cisco. Стр. 9 из 12

10 Заполните приведённую ниже таблицу данными второго захваченного пакета ARP. Поле Значение MAC-адрес отправителя IP-адрес отправителя MAC-адрес назначения IP-адрес назначения Шаг 3: Проанализируйте задержки сети, вызванные ARP. a. Очистите записи ARP на ПК-А. b. Начните захват данных программой Wireshark. c. Отправьте эхо-запрос с помощью команды ping на коммутатор S2 ( ). Эхо-запрос с помощью команды ping, отправленный после первого эхо-запроса, должен быть успешным. Примечание. Если все эхо-запросы успешны, необходимо перезагрузить коммутатор S1, чтобы просмотреть задержки сети из-за ARP. C:\Users\User1> ping Request timed out. Reply from : bytes=32 time=2ms TTL=255 Reply from : bytes=32 time=2ms TTL=255 Reply from : bytes=32 time=2ms TTL=255 Ping statistics for : Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), В данном документе содержится общедоступная информация корпорации Cisco. Стр. 10 из 12

11 Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 3ms, Average = 2ms d. После отправления эхо-запросов с помощью команды ping остановите захват данных программой Wireshark. С помощью фильтра отобразите только данные ARP и ICMP. В поле Filter: (Фильтр) программы Wireshark введите arp или icmp. e. Изучите захваченные данные. В данном примере кадр 10 это первый ICMP-кадр, отправленный с ПК-Б на коммутатор S1. Поскольку для коммутатора S1 нет записи ARP, на IP-адрес управления коммутатора S1 был отправлен ARP-запрос на получение МАС-адреса. В процессе обмена данными ARP эхо-запрос с помощью команды ping не получил отклик за отведённое время (кадры 8 12). После добавления записи ARP для коммутатора S1 в ARP-кэш последние три обмена данными ICMP были успешны, о чем свидетельствуют кадры 26, 27 и Как показано в захвате данных Wireshark, ARP это яркий пример компромисса производительности. При отсутствии кэша протокол ARP должен непрерывно запрашивать трансляцию адресов каждый раз при помещении кадра в сеть. В этом случае для установления связи прибавляется время ожидания, что может вызвать перегрузку локальной сети. Вопросы на закрепление 1. Как и когда удаляются статические записи ARP? 2. Зачем добавить статические записи ARP в кэш? В данном документе содержится общедоступная информация корпорации Cisco. Стр. 11 из 12

Как посмотреть arp таблицу в Windows

Как посмотреть arp таблицу в Windows

Всем привет! Сегодня я расскажу, как посмотреть arp таблицу в Windows. Что такое arp - это протокол распознавания адреса, предназначен для преобразования IP-адресов в MAC-адреса, часто называемые также физическими адресами. Ранее я уже рассказывал, как выглядит arp таблица cisco. Думаю, что многим коллегам, кто только начинает знакомиться с сетевой инфраструктурой данной операционной системы, данная информация окажет хорошее подспорье, для формирования фундамента. Тут главное понимать принцип работы и назначения, все остальное уже нюансы различных вендоров.

Важной особенностью интерфейса Ethernet является то, что каждая интерфейсная карта имеет свой уникальный адрес. Каждому производителю карт выделен свой пул адресов в рамках которого он может выпускать карты. Согласно протоколу Ethernet, каждый интерфейс имеет 6-ти байтовый адрес. Адрес записывается в виде шести групп шестнадцатеричных цифр по две в каждой (шестнадцатеричная записи байта). Первые три байта называются префиксом, и именно они закреплены за производителем. Каждый префикс определяет 224 различных комбинаций, что равно почти 17-ти млн. адресам.

В сетях нет однозначного соответствия между физическим адресом сетевого интерфейса (MAC адресом сетевой карты) и его IP-адресом. Поиск по IP-адресу соответствующего Ethernet-адреса производится протоколом ARP, функционирующим на уровне доступа к среде передачи. Протокол поддерживает в оперативной памяти динамическую arp-таблицу в целях кэширования полученной информации. Открываем в Windows командную строку.

Как посмотреть arp таблицу

Где вы слева видите ip адрес, а правее видите Физический адрес (mac адрес). Это и есть arp таблица windows.

Как посмотреть arp таблицу в Windows-2

Как посмотреть arp таблицу в Windows-2

очистка arp таблицы

Делается с помощью команды

И видим,произошла очистка arp таблицы

Как посмотреть arp таблицу в Windows-3

Как посмотреть arp таблицу в Windows-3

Как добавить свою запись в arp таблицу

Делается это с помощью команды

Увеличиваем время жизни arp записи Windows 7 по 10

Давайте рассмотрим на примере Windows 8.1 как можно увеличить время жизни arp записей, для чего это может быть нужно, ну, чтобы разгрузить сеть лишним трафиком, если у вас в сети мало, что меняется. Делается это все через реестр Windows

Нажимаем Win+R и вводим regedit и переходим в ветку

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Тут вам для изменения периода хранения данных в кэше ARP, нужно создать Параметр DWORD, если у вас разрядность системы 32, то создаем 32, если 64, то такой же.

Увеличиваем время жизни arp записи Windows

Задаем имя ArpCacheLife и ставим значение в секундах, после чего нужно перезагрузиться и у вас поменяется время жизни arp записи.

Увеличиваем время жизни arp записи Windows-2

Вот полная справка команды arp

Отображение и изменение таблиц преобразования IP-адресов в физические,
используемые протоколом разрешения адресов (ARP).

ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr] [-v]

Читайте также: