免费ARP与代理ARP在工业场景的应用

免费ARP与代理ARP在工业场景的应用

门防火等级,防火墙 设置,防火建材　　ARP在IPv4网络中扮演着重要角色，我们知道主机最终通信靠的是MAC地址，可是我们平时只是用IP地址来进行通信的，这是因为ARP在默默的帮我们做着底层的翻译工作。在实际工作当中，可能会用到ARP的地方，包括同网段通信、跨网断通信、检测地址冲突、更新硬件地址、作为代理网关、建立映射关系等。本篇先为大家介绍免费ARP和代理ARP在实际工作中的应用。

　　门防火等级,防火墙 设置,防火建材场景一：工业现场问题排查，会遇到网络时断时续。本端与对端在同网段，出现网络不稳定的情况。ARP是容易被忽视的排查点，ARP的哪些技术能帮到我们呢？

　　场景二：由于当初规划不尽合理，防火墙将相同网段分割开来，不想调整网络结构还想实现网络隔离，此种情况下能满足客户需求吗？

　　场景三：两个车间之间的路由器或交换机无法修改（忘记账户密码了），但又希望两个车间能够实现访问控制。实施部署会遇到什么问题，而又需要ARP技术来解决呢？

　　因为32位IP地址用于网络层通信，48位的MAC地址用于链路层通信，逻辑IP地址与硬件MAC地址是独立工作的，所以需要一种地址解析的机制来提供映射。

　　首先要知道，主机最终通信靠的是MAC地址。即使是跨网段通信，最后也会交给那个网段的网关，网关和目的主机通信也是同网段，此时还是MAC地址的通信。

　　① 需求：由于二层交换机未及时更新MAC地址表（偶现），导致工程师站去往MES使用了旧MAC地址。在不修改二层交换机的情况下，主动及时更新二层交换机MAC地址表，使工业环境网络快速收敛，进一步保障工业场景的即时通信。

　　③ 原理：通过配置免费ARP，使防火墙主动发送Gratuitous ARP消息（源、目IP都是自己），来触发直连ISP设备更新ARP表和二层交换机更新MAC地址表。

　　① 需求：由于管理员在规划网络时“偷懒”，将操作员站与数据库服务器规划到同一网段中。现在希望防火墙作为三层设备进行隔离与防护，来进一步提高网络的安全性。

　　③ 原理：操作员站与数据库服务器属于同网段，由于被防火墙分割形成了不同的广播域，所以操作员站的ARP广播请求无法到达数据库服务器，需要防火墙配置Proxy ARP来做应答和中转。

　　① 需求：由于客户将路由配置了出接口方式，导致网络不通，现在只能改变FW的情况下尝试解决该问题。

　　③ 原理：R1路由使用出接口方式会识别为直连网络，由此认为目的IP地址与接口IP地址是同网段，会直接发送ARP广播请求获取目的IP地址的MAC地址。由于FW分割广播域，所以ARP广播无法穿越FW，通过配置Proxy ARP让FW代为应答及中转。

　　上线部署防火墙需要尽快连通业务，及时更新直连设备的MAC地址，最终保障业务能够快速割接完成。

　　六方云工业防火墙可以指定接口配置，让某个或某几个接口周期性地发送免费ARP。

　　如果不配置免费ARP，防火墙在启动时也会发送一次免费ARP，包括路由器、交换机、主机都有这种行为，主要是用来检测IP地址冲突。实际工作中这一条消息有可能在网络中丢失，所以我们出现问题的时候，或为了保险起见可以手动配置免费ARP。

　　通过配置免费ARP，使防火墙主动发送Gratuitous ARP广播消息（源、目IP都是自己，源MAC是自己，目的MAC用0填充），来触发直连MES更新ARP表和二层交换机更新MAC地址表。先把底层（链路层）保持最新，再处理上层（网络层）就更稳妥了。

　　比如CISCO Router默认ARP表项老化时间为4h，CISCO Switch默认MAC表项老化时间为300s，通过免费ARP可以排除一部分老化时间的影响。

　　因为局域网上一般没有安全的认证系统，所以任何主机都可以发送免费ARP广播，这样就容易出现 MAC地址欺骗。ARP实现机制只考虑业务的正常交互，对非正常交互或恶意行为不做验证，容易出现ARP欺骗、ARP缓冲区溢出攻击、ARP拒绝服务攻击等。

　　众所周知，在解决一个问题时，会引入一个新的机制，通常由于缺乏全面系统的考虑，没有对技术进行全方位的论证，导致某些技术存在一定缺陷，后续只有通过原技术打补丁或引入全新技术来规避。针对免费ARP的不足，一些厂商已经引入ACD机制，目前主要是在各厂商路由设备上实现，有兴趣的朋友可以搜索ACD或RFC5227。

　　防火墙位置将192.168.0.0/16网段分割开来，在不修改原环境配置的情况下，实现操作员站与数据库服务器通信。

　　操作员站与数据库服务器属于同网段，由于被防火墙分割形成了不同的广播域，所以操作员站的ARP广播请求无法达到数据库服务器。需要防火墙配置Proxy ARP，然后防火墙用自己的MAC地址回应操作员站。防火墙再向数据库服务器发出ARP广播请求，请求获得数据库服务器的MAC地址，数据库服务器看到目的IP是自己，就会回复一个单播ARP响应。届时防火墙就作为代理来做中站工作。

　　① Linux可以查看ARP表，有多个IPv4地址动态映射到单一MAC地址。

　　② Windows可以查看ARP表，有多个IPv4地址动态映射到单一MAC地址。

　　R1和R2的路由吓一跳配置了出接口方式导致网络不通，在不改变原配置的情况下解决网络联通性。

　　使用出接口会被识别为直连，去往20.20.20.0/24会找20.20.20.20的MAC地址，R1肯定找不到，因为FW分割了广播域，所以ARP广播请求发无法穿越FW到R2。通过配置代理ARP，FW可以代为应答和转发，最终实现有效通信。

　　① 路由使用吓一跳方式，路由器/防火墙会进行递归查询到达吓一跳的路由，直到找到去往吓一跳的出接口。

　　② 路由使用出接口方式，路由器/防火墙会认为是直连网络，也就是理解为了同网段，那就发送ARP广播请求目的IP的MAC地址，所以必须开Proxy ARP。

　　③ 路由使用出接口+吓一跳方式，路由器/防火墙会进行递归查询到达吓一跳的路由，直到找到去往吓一跳的出接口。

　　④ 路由使用出接口+吓一跳非直连方式，路由器/防火墙会认为吓一跳设备与相关联出接口是直连，发送ARP广播请求远端的MAC地址，所以必须开Proxy ARP。

　　六方云作为工业互联网的资深厂商，有责任和义务尽可能多的向合作伙伴及客户，传播正能量的、有价值的、更具深度的解决方案和技术原理，帮助客户解决问题的同时也实现我们公司的自身价值。

　　六方云结合对工业互联网安全产业的思考和实践，于2022年6月率先发布了《下一代工业防火墙的白皮书》。六方云防火墙通过AI算法、大数据分析等技术对加密流量的可视化进行多维度展示，能更好的帮助工业客户进行生产工作。书中尽可能准确地定义下一代工业防火墙，以供工业互联网安全行业内的企业和专家参考。