实验5A使用 Windows CLIIOS CLI 和 Wireshark 观察 ARP.docx

实验5A使用 Windows CLIIOS CLI 和 Wireshark 观察 ARP.docx

《实验5A使用 Windows CLIIOS CLI 和 Wireshark 观察 ARP.docx》由会员分享，可在线阅读，更多相关《实验5A使用 Windows CLIIOS CLI 和 Wireshark 观察 ARP.docx（16页珍藏版）》请在冰豆网上搜索。

实验5A使用WindowsCLIIOSCLI和Wireshark观察ARP

实验5A-使用WindowsCLI、IOSCLI和Wireshark观察ARP

背景/场景

TCP/IP使用地址解析协议（ARP）将第3层IP地址映射到第2层MAC地址。

当帧进入网络时，必定具有目的MAC地址。

为动态发现目的设备的MAC地址，系统将在LAN上广播ARP请求。

含有该目的IP地址的设备将会发出响应，而对应的MAC地址将记录到ARP缓存中。

LAN上的每台设备都有自己的ARP缓存，或者利用RAM中的一小块区域来保存ARP结果。

ARP缓存定时器将会删除在指定时间段内未使用的ARP条目。

ARP是性能折衷的极佳示例。

如果没有缓存，每当帧进入网络时，ARP都必须不断请求地址转换。

这样会延长通信的反应时间，可能会造成LAN拥塞。

反之，无限制的保存时间又可能导致离开网络或改变了第3层地址的设备出错。

网路管理员应了解ARP的工作原理，但可能不会定期与该协议交互。

ARP是一种使网络设备可以通过TCP/IP协议进行通信的协议。

如果没有ARP，就没有建立数据报第2层目的地址的有效方法。

但ARP也是潜在的安全风险。

例如，ARP欺骗或ARP投毒就是攻击者用来将错误的MAC地址关联放入网络的技术。

攻击者伪造设备的MAC地址，致使帧发送到错误的目的地。

手动配置静态ARP关联是预防ARP欺骗的方法之一。

最后，您也可以在思科设备上配置授权的MAC地址列表，只允许认可的设备接入网络。

在本实验中，您将在Windows和思科路由器中使用ARP命令来显示ARP表。

您还将清除ARP缓存并添加静态ARP条目。

注意：

CCNA动手实验所用的路由器是采用CiscoIOSRelease15.2（4）M3（universalk9映像）的Cisco1941集成多业务路由器（ISR）。

所用的交换机是采用CiscoIOSRelease15.0

（2）（lanbasek9映像）的CiscoCatalyst2960系列。

也可使用其他路由器、交换机以及CiscoIOS版本。

根据型号以及CiscoIOS版本不同，可用命令和产生的输出可能与实验显示的不一样。

请参考本实验末尾的“路由器接口摘要表”以了解正确的接口标识符。

注意：

确保所使用的路由器和交换机的启动配置都已擦除。

如果不确定，请联系教师。

拓扑

地址分配表

设备

接口

IP地址

子网掩码

默认网关

R1

G0/1

192.168.1.1

255.255.255.0

未提供

S1

VLAN1

192.168.1.11

255.255.255.0

192.168.1.1

S2

VLAN1

192.168.1.12

255.255.255.0

192.168.1.1

PC-A

网卡

192.168.1.3

255.255.255.0

192.168.1.1

PC-B

网卡

192.168.1.2

255.255.255.0

192.168.1.1

目标

第1部分：

构建和配置网络

第2部分：

使用WindowsARP命令

第3部分：

使用IOSShowARP命令

第4部分：

使用Wireshark检查ARP交换

所需资源

∙1台路由器（支持CiscoIOS15.2（4）M3版通用映像的Cisco1941或同类路由器）

∙2台交换机（支持CiscoIOS版本15.0

（2）lanbasek9映像的Cisco2960或同类交换机）

∙2台PC（采用Windows7、Vista或XP且支持终端仿真程序，比如安装有TeraTerm和Wireshark）

∙用于通过控制台电缆配置CiscoIOS设备的控制台端口

∙如拓扑图所示的以太网电缆

注意：

Cisco2960交换机上的快速以太网接口能够自动感应，交换机S1和S2之间可以使用以太网直通电缆。

如果使用其他型号的思科交换机，需要使用以太网交叉电缆。

第1部分：

构建和配置网络

第1步：

根据拓扑图进行网络布线。

第2步：

根据地址分配表配置设备的IP地址。

第3步：

通过对PC-B中的所有设备执行ping操作来检验网络连接。

第2部分：

使用WindowsARP命令

arp命令允许用户查看和修改Windows中的ARP缓存。

您可以通过Windows命令提示符使用此命令。

第4步：

显示ARP缓存。

a.在PC-A上打开命令窗口，并键入arp。

C:

\Users\User1>arp

DisplaysandmodifiestheIP-to-Physicaladdresstranslationtablesusedby

addressresolutionprotocol（ARP）.

ARP-sinet_addreth_addr[if_addr]

ARP-dinet_addr[if_addr]

ARP-a[inet_addr][-Nif_addr][-v]

-aDisplayscurrentARPentriesbyinterrogatingthecurrent

protocoldata.Ifinet_addrisspecified,theIPandPhysical

addressesforonlythespecifiedcomputeraredisplayed.If

morethanonenetworkinterfaceusesARP,entriesforeachARP

tablearedisplayed.

-gSameas-a.

-vDisplayscurrentARPentriesinverbosemode.Allinvalid

entriesandentriesontheloop-backinterfacewillbeshown.

inet_addrSpecifiesaninternetaddress.

-Nif_addrDisplaystheARPentriesforthenetworkinterfacespecified

byif_addr.

-dDeletesthehostspecifiedbyinet_addr.inet_addrmaybe

wildcardedwith*todeleteallhosts.

-sAddsthehostandassociatestheInternetaddressinet_addr

withthePhysicaladdresseth_addr.ThePhysicaladdressis

givenas6hexadecimalbytesseparatedbyhyphens.Theentry

ispermanent.

eth_addrSpecifiesaphysicaladdress.

if_addrIfpresent,thisspecifiestheInternetaddressofthe

interfacewhoseaddresstranslationtableshouldbemodified.

Ifnotpresent,thefirstapplicableinterfacewillbeused.

Example:

>arp-s157.55.85.21200-aa-00-62-c6-09....Addsastaticentry.

>arp-a....Displaysthearptable.

b.检查输出。

使用什么命令可以显示ARP缓存中的所有条目？

____________________________________________________________________________________

使用什么命令可以删除所有ARP缓存条目（清空ARP缓存）？

____________________________________________________________________________________

使用什么命令可以删除192.168.1.11的ARP缓存条目？

____________________________________________________________________________________

c.键入arp–a来显示ARP表。

.

C:

\Users\User1>arp–a

Interface:

192.168.1.3---0xb

InternetAddressPhysicalAddressType

192.168.1.1d4-8c-b5-ce-a0-c1dynamic

192.168.1.255ff-ff-ff-ff-ff-ffstatic

224.0.0.2201-00-5e-00-00-16static

224.0.0.25201-00-5e-00-00-fcstatic

239.255.255.25001-00-5e-7f-ff-fastatic

注意：

如果使用的是WindowsXP，则ARP表为空（如下所示）。

C:

\DocumentsandSettings\User1>arp-a

NoARPEntriesFound.

d.从PC-A对PC-B执行ping操作会在ARP缓存中动态添加条目。

C:

\DocumentsandSettings\User1>ping192.168.1.2

Interface:

192.168.1.3---0xb

InternetAddressPhysicalAddressType

192.168.1.200-50-56-be-f6-dbdynamic

IP地址为192.168.1.2的主机的物理地址是什么？

____________________________________________________________________________________

第5步：

手动调整ARP缓存中的条目。

要删除ARP缓存中的条目，请发出命令arp–d{inet-addr|*}。

可以通过指定IP地址逐个地删除地址，也可以使用通配符*删除所有条目。

检验ARP缓存包含以下条目：

R1G0/1默认网关（192.168.1.1）、PC-B（192.168.1.2）和两台交换机（192.168.1.11和192.168.1.12）。

e.从PC-A，对地址表中的所有地址执行ping操作。

f.检验所有地址都已添加到ARP缓存中。

如果地址不在ARP缓存中，请对目的地址执行ping操作来检验此地址已添加到ARP缓存中。

C:

\Users\User1>arp–a

Interface:

192.168.1.3---0xb

InternetAddressPhysicalAddressType

192.168.1.1d4-8c-b5-ce-a0-c1dynamic

192.168.1.200-50-56-be-f6-dbdynamic

192.168.1.110c-d9-96-e8-8a-40dynamic

192.168.1.120c-d9-96-d2-40-40dynamic

192.168.1.255ff-ff-ff-ff-ff-ffstatic

224.0.0.2201-00-5e-00-00-16static

224.0.0.25201-00-5e-00-00-fcstatic

239.255.255.25001-00-5e-7f-ff-fastatic

g.以管理员身份访问命令提示符。

单击Start（开始）图标，然后在Searchprogramsandfile（搜索程序和文件）框中，键入cmd。

当cmd图标出现时，右键单击该图标并选择Runasadministrator（以管理员身份运行）。

单击Yes（是）允许此程序进行更改。

注意：

对于WindowsXP用户，不需要管理员权限就可以修改ARP缓存条目。

h.在管理员命令提示符窗口中，键入arp-d*。

此命令将删除所有ARP缓存条目。

在命令提示符下键入arp-a来检验所有ARP缓存条目都已删除。

C:

\windows\system32>arp–d*

C:

\windows\system32>arp–a

NoARPEntriesFound.

i.等待几分钟。

邻居发现协议开始再次填充ARP缓存。

C:

\Users\User1>arp–a

Interface:

192.168.1.3---0xb

InternetAddressPhysicalAddressType

192.168.1.255ff-ff-ff-ff-ff-ffstatic

注意：

WindowsXP中没有实施邻居发现协议。

j.从PC-A，对PC-B（192.168.1.2）和交换机（192.168.1.11和192.168.1.12）执行ping操作以添加ARP条目。

检验ARP条目已添加到缓存。

C:

\Users\User1>arp–a

Interface:

192.168.1.3---0xb

InternetAddressPhysicalAddressType

192.168.1.200-50-56-be-f6-dbdynamic

192.168.1.110c-d9-96-e8-8a-40dynamic

192.168.1.120c-d9-96-d2-40-40dynamic

192.168.1.255ff-ff-ff-ff-ff-ffstatic

k.记录交换机S2的物理地址。

___________________________________

l.键入arp-dinet-addr删除特定ARP缓存条目。

在命令提示符下，键入arp-d192.168.1.12删除S2的ARP条目。

C:

\windows\system32>arp–d192.168.1.12

m.键入arp-a检验S2的ARP条目已从ARP缓存中删除。

C:

\Users\User1>arp–a

Interface:

192.168.1.3---0xb

InternetAddressPhysicalAddressType

192.168.1.200-50-56-be-f6-dbdynamic

192.168.1.110c-d9-96-e8-8a-40dynamic

192.168.1.255ff-ff-ff-ff-ff-ffstatic

n.您可以通过键入arp–sinet_addrmac_addr添加特定ARP缓存条目。

本示例中将使用S2的IP地址和MAC地址。

使用第g步中记录的MAC地址。

C:

\windows\system32>arp–s192.168.1.120c-d9-96-d2-40-40

o.检验S2的ARP条目已添加到缓存。

第3部分：

使用IOSshowarp命令

通过使用showarp或showiparp命令，CiscoIOS也可以显示路由器和交换机上的ARP缓存。

第6步：

显示路由器R1上的ARP条目。

R1#showarp

ProtocolAddressAge（min）HardwareAddrTypeInterface

Internet192.168.1.1-d48c.b5ce.a0c1ARPAGigabitEthernet0/1

Internet192.168.1.200050.56be.f6dbARPAGigabitEthernet0/1

Internet192.168.1.300050.56be.768cARPAGigabitEthernet0/1

R1#

注意，对于第一个条目路由器接口G0/1（LAN默认网关），没有Age（-）。

Age是该条目在ARP缓存中存在的分钟数，且会因为其他条目而递增。

邻居发现协议填充PC-A与PC-BIP和MAC地址ARP条目。

第7步：

在路由器R1上添加ARP条目。

您可以通过对其他设备执行ping操作将ARP条目添加到该路由器的ARP表。

a.对交换机S1执行ping操作。

R1#ping192.168.1.11

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto192.168.1.11,timeoutis2seconds:

.!

!

!

!

Successrateis80percent（4/5）,round-tripmin/avg/max=1/2/4ms

b.检验交换机S1的ARP条目已添加到R1的ARP表。

R1#showiparp

ProtocolAddressAge（min）HardwareAddrTypeInterface

Internet192.168.1.1-d48c.b5ce.a0c1ARPAGigabitEthernet0/1

Internet192.168.1.260050.56be.f6dbARPAGigabitEthernet0/1

Internet192.168.1.360050.56be.768cARPAGigabitEthernet0/1

Internet192.168.1.1100cd9.96e8.8a40ARPAGigabitEthernet0/1

R1#

第8步：

显示交换机S1上的ARP条目。

S1#showiparp

ProtocolAddressAge（min）HardwareAddrTypeInterface

Internet192.168.1.146d48c.b5ce.a0c1ARPAVlan1

Internet192.168.1.280050.56be.f6dbARPAVlan1

Internet192.168.1.380050.56be.768cARPAVlan1

Internet192.168.1.11-0cd9.96e8.8a40ARPAVlan1

S1#

第9步：

在交换机S1上添加ARP条目。

通过对其他设备执行ping操作，ARP条目也可以添加到交换机的ARP表。

c.从交换机S1上，对交换机S2执行ping操作。

S1#ping192.168.1.12

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto192.168.1.12,timeoutis2seconds:

.!

!

!

!

Successrateis80percent（4/5）,round-tripmin/avg/max=1/2/8ms

d.检验交换机S2的ARP条目已添加到S1的ARP表。

S1#showiparp

ProtocolAddressAge（min）HardwareAddrTypeInterface

Internet192.168.1.15d48c.b5ce.a0c1ARPAVlan1

Internet192.168.1.2110050.56be.f6dbARPAVlan1

Internet192.168.1.3110050.56be.768cARPAVlan1

Internet192.168.1.11-0cd9.96e8.8a40ARPAVlan1

Internet192.168.1.1220cd9.96d2.4040ARPAVlan1

S1#

第4部分：

使用Wireshark检查ARP交换

在第4部分中，您将通过使用Wireshark来捕获并评估ARP交换来检查ARP交换。

您还将检查设备之间的ARP交换导致的网络延迟。

第10步：

配置Wireshark进行数据包捕获。

a.运行Wireshark。

b.选择用于捕获ARP交换的网络接口。

第11步：

捕获和评估ARP通信。

c.在Wireshark中开始捕获数据包。

使用过滤器以仅显示ARP数据包。

d.通过在命令提示符下键入arp–d*清空ARP缓存。

e.检验已清除ARP缓存。

f.使用ping192.168.1.1命令对默认网关执行ping操作。

g.在对默认网关完成ping操作后，停止Wireshark捕获。

h.在数据包详细信息窗格中检查ARP交换的Wireshark捕获。

第一个ARP数据包是什么？

___________________________

使用第一个捕获的ARP数据包的相关信息填写下表。

字段

值

发送方MAC地址

发送方IP地址

目标MAC地址

目标IP地址

第二个ARP数据包是什么？

______________________________

使用第二个捕获的ARP数据包的相关信息填写下表。

字段

值

发送方MAC地址

发送方IP地址

目标MAC地址

目标IP地址

第12步：

检查ARP导致的网络延迟。

i.清除PC-A上的ARP条目。

j.开始Wireshark捕获。

k.对交换机S2（192.168.1.12）执行ping操作。

在第一个回应请求后，ping应该成功。

注意：

如果所有ping都成功，应重新加载S1来观察ARP导致的网络延迟。

C:

\