RouterOS MikroTika oferuje szeroką gamę zaawansowanych funkcji i ustawień umożliwiających efektywne zarządzanie sieciami. Wśród tych funkcji podstawową rolę w mapowaniu adresów IP na fizyczne adresy sieciowe odgrywa protokół rozpoznawania adresów (ARP).
Na końcu artykułu znajdziesz mały test to ci pozwoli oceniać wiedzę zdobytą w tej lekturze
1. ARP wyłączone
Jeśli w interfejsie jest wyłączona funkcja ARP, czyli używana jest wartość arp=disabled, router nie odpowiada na żądania ARP od klientów. Dlatego też do klientów należy dodać statyczny wpis ARP. Na przykład adresy IP i MAC routera należy dodać do stacji roboczych z systemem Windows za pomocą polecenia arp:
C:\> arp -s 10.5.8.254 00-aa-00-62-c6-09
2. Włączono ARP
ARP Enabled jest trybem domyślnym w większości konfiguracji. Umożliwia routerowi automatyczną aktualizację tabeli ARP, gdy urządzenia w sieci komunikują się ze sobą. Nie jest wymagana ręczna interwencja.
Typowym przykładem może być:
/ip arp wydrukuj
To polecenie wyświetli dynamiczną tabelę ARP, która jest automatycznie aktualizowana w miarę interakcji urządzeń w sieci.
3. Proxy ARP
Jest to technika stosowana w sieciach komputerowych, w której jedno urządzenie pełni rolę pośrednika, odpowiadając na żądania ARP w imieniu innych urządzeń. Innymi słowy, urządzenie ARP Proxy odpowiada na żądania ARP kierowane do adresów IP znajdujących się poza jego własną podsiecią, zamiast pozwalać urządzeniom w tej podsieci na samodzielne odpowiadanie. Router wykonuje proxy ARP na interfejsie i wysyła odpowiedzi do innych interfejsów
Główną funkcją Proxy ARP jest umożliwienie komunikacji pomiędzy urządzeniami znajdującymi się w różnych podsieciach, ale podłączonymi do tej samej sieci fizycznej. Aby włączyć ARP Proxy, użyj:
4. Tylko odpowiedz
Interfejs będzie odpowiadać tylko na żądania pochodzące z pasujących kombinacji adresów IP/adresów MAC, które są wprowadzone jako wpisy statyczne w tabeli IP/ARP. Żadne dynamiczne wpisy nie będą automatycznie zapisywane w tabeli IP/ARP. Dlatego też, aby komunikacja przebiegła pomyślnie, musi już istnieć prawidłowy wpis statyczny. Aby dokonać statycznego wpisu w tablicy ARP, użyj następującego polecenia:
/ip arp dodaj adres=192.168.1.2 adres-mac=00:11:22:33:44:55 interfejs=ether1
Tryb ten przydaje się w sytuacjach, gdy trzeba ściśle kontrolować, które adresy IP można przypisać do konkretnego interfejsu. Aby włączyć tryb tylko odpowiedzi, użyj następującego polecenia:
/interface ethernet set 0 arp=tylko odpowiedź
To polecenie konfiguruje interfejs Ethernet 1 tak, aby odpowiadał tylko na żądania ARP.
5. Lokalny serwer proxy ARP
Gdy na routerze jest włączony ten tryb, Proxy ARP jest wykonywany tylko do/z tego interfejsu, to znaczy dla ruchu wchodzącego i wychodzącego z tego samego interfejsu. W normalnej sieci LAN domyślnym zachowaniem jest bezpośrednia komunikacja dwóch hostów sieciowych, bez angażowania routera.
Po włączeniu local-proxy-arp router będzie odpowiadać wszystkim hostom klientów, podając adres MAC interfejsu routera zamiast adresu MAC drugiego hosta. Router wykonuje na interfejsie proxy ARP i wysyła odpowiedzi do tego samego interfejsu.
Spójrzmy na następujący przykład:
Jeśli host A (192.168.88.2/24) zażąda adresu MAC hosta B (192.168.88.3/24), router odpowie własnym adresem MAC. Innymi słowy, jeśli włączona jest funkcja local-proxy-arp, router przejmie odpowiedzialność za przekazywanie ruchu pomiędzy hostem A 192.168.88.2 i hostem B 192.168.88.3. Wszystkie wpisy pamięci podręcznej ARP na hostach A i B będą odnosić się do adresu MAC routera. W tym przypadku router wykonuje local-proxy-arp dla całej podsieci 192.168.88.0/24.
Przykładem lokalnego proxy-arp w RouterOS może być konfiguracja mostu z serwerem DHCP i portami mostu przy użyciu opcji izolowanej, w której hosty w tej samej podsieci mogą komunikować się między sobą tylko w warstwie 3 za pośrednictwem adresu IP mostu.
/mostek interfejsu
dodaj arp=lokalny-proxy-arp nazwa=most1
/ port mostka interfejsu
dodaj most=most1 horyzont=1 interfejs=eter2
dodaj most=most1 horyzont=1 interfejs=eter3
dodaj most=most1 horyzont=1 interfejs=eter4
Krótki quiz wiedzy
Co sądzisz o tym artykule?
Czy odważysz się ocenić zdobytą wiedzę?
Książka polecana do tego artykułu
Książka o zaawansowanych zabezpieczeniach RouterOS v7
Materiały do kursu certyfikacyjnego MTCSE, zaktualizowane do wersji RouterOS v7
Powiązane artykuły
- Między stanem a bezstanem: opanowanie zapory sieciowej MikroTik
- MikroTik i uwierzytelnianie bezprzewodowe: zrozumienie opcji „Zezwalaj na klucz współdzielony”
- MikroTik IPSec: Wybierz pomiędzy trybem tunelowym a trybem transportowym dla VPN
- HSRP, VRRP, GLBP: Zrozumienie kluczowych protokołów zapewniających redundancję sieci
- Narzędzia do testowania przepustowości i prędkości w MikroTik RouterOS