Configurer un commutateur de couche
5.2 Protocole ARP ( Address Resolution Protocol) 1 ARP
5.2.1.1 Présentation du protocole ARP
Souvenez-vous que chaque nœud sur un réseau IP possède une adresse MAC et une adresse IP. Pour envoyer des données, le nœud doit utiliser ces deux adresses. Le nœud doit utiliser ses propres adresses MAC et IP dans les champs sources et doit fournir une adresse MAC et une adresse IP de destination. Bien que l'adresse IP de la destination soit fournie par une couche OSI supérieure, le nœud émetteur doit trouver un moyen d'obtenir l'adresse MAC de destination de la liaison Ethernet. Quel est l'objectif d'ARP ?
Le protocole ARP repose sur certains types de message de diffusion Ethernet et de message monodiffusion Ethernet, appelés requêtes ARP et réponses ARP.
Le protocole ARP assure deux fonctions de base :
La résolution des adresses IPv4 en adresses MAC
144
Résolution des adresses IPv4 en adresses MAC
À chaque trame placée sur un support LAN doit correspondre une adresse MAC de destination. Quand un paquet est envoyé à la couche liaison de données pour être encapsulé dans une trame, le nœud consulte une table stockée dans sa mémoire pour connaître l'adresse de couche liaison de données qui est mappée à l'adresse IPv4 de destination. Cette table est appelée table ARP ou cache ARP. La table ARP est stockée dans la mémoire vive (RAM) du périphérique.
Chaque entrée, ou ligne, de la table ARP relie une adresse IP à une adresse MAC. La relation entre les deux valeurs s'appelle un mappage. Autrement dit, si vous choisissez une adresse IP dans la table, vous trouverez l'adresse MAC correspondante. La table ARP stocke temporairement (dans la mémoire cache) le mappage des périphériques du réseau local. Pour lancer la procédure, un nœud émetteur tente de trouver l'adresse MAC associée à une adresse IPv4 de destination. Si ce mappage se trouve dans la table, le nœud utilise l'adresse MAC comme destination MAC dans la trame qui encapsule le paquet IPv4. La trame est ensuite codée sur le support réseau.
5.2.1.2 Fonctions ARP
Mise à jour de la table ARP
La table ARP est mise à jour de manière dynamique. Un périphérique dispose de deux méthodes pour obtenir des adresses MAC. La première consiste à surveiller le trafic sur le segment du réseau local. Quand un noeud reçoit des trames en provenance du support, il enregistre les adresses IP source et MAC dans la table ARP sous forme de mappage. Au fur et à mesure que les trames sont transmises sur le réseau, le périphérique remplit la table ARP de paires d'adresses.
L'envoi d'une requête ARP permet également d'obtenir une paire d'adresses, comme illustré sur la figure. Une requête ARP est une diffusion de couche 2 à tous les périphériques du réseau local Ethernet. La requête ARP contient l'adresse IP de l'hôte de destination et l'adresse MAC de diffusion, FFFF.FFFF.FFFF. Comme il s'agit d'une diffusion, tous les nœuds sur le réseau local Ethernet le reçoivent et regardent le contenu. Le nœud dont l'adresse IP correspond à l'adresse IP de la requête ARP répond. La réponse est une trame de monodiffusion contenant l'adresse MAC qui correspond à l'adresse IP de la requête. Cette réponse permet de créer une nouvelle entrée dans la table ARP du nœud émetteur.
Les entrées de la table MAC sont horodatées de la même façon que les entrées de la table MAC sur les commutateurs. Si le périphérique ne reçoit pas de trame d'un périphérique précis avant expiration de l'horodatage, l'entrée correspondant à ce périphérique précis est supprimée de la table ARP.
Des entrées statiques de mappage peuvent également être ajoutées dans une table ARP, mais ceci ne se produit que rarement. Les entrées statiques de la table ARP n'expirent pas avec le temps et elles doivent être supprimées manuellement.
145
5.2.1.3 Fonctionnement d'ARP
Création de la trame
Que fait un noeud lorsqu'il doit créer une trame et que le cache ARP ne contient pas la correspondance entre une adresse IP et l'adresse MAC de destination ? Il génère une requête ARP !
Quand le protocole ARP reçoit une requête de mappage entre une adresse IPv4 et une adresse MAC, il recherche le mappage stocké en mémoire cache dans sa table ARP. S'il ne trouve pas d'entrée, l'encapsulation du paquet IPv4 échoue, et les processus de la couche 2 informent le protocole ARP qu'un mappage est nécessaire. Les processus ARP envoient alors un paquet de requête ARP pour trouver l'adresse MAC du périphérique de destination sur le réseau local. Si le périphérique qui reçoit la requête possède l'adresse IP de destination, il répond à l'aide d'une réponse ARP. Une entrée est créée dans la table ARP. Les paquets à destination de cette adresse IPv4 peuvent à présent être encapsulés dans des trames.
Si aucun périphérique ne répond à la requête ARP, le paquet est abandonné car il est impossible de créer une trame. L'échec de l'encapsulation est signalé aux couches supérieures du périphérique. Dans le cas d'un périphérique intermédiaire, comme un routeur, les couches supérieures peuvent choisir de répondre à l'hôte source en générant une erreur dans un paquet ICMPv4.
Reportez-vous aux Figures 1 à 5 pour visualiser le processus utilisé pour obtenir l'adresse MAC du nœud sur le réseau local physique.
5.2.1.4 Rôle d'ARP dans les communications à distance
Toutes les trames doivent être remises à un noeud sur un segment du réseau local. Si l'hôte IPv4 de destination se trouve sur le réseau local, la trame utilise l'adresse MAC de ce périphérique comme adresse MAC de destination.
Si l'hôte IPv4 de destination ne se trouve pas sur le réseau local, le noeud source doit livrer la trame à l'interface du routeur qui sert de passerelle ou de tronçon suivant pour atteindre cette destination. Le noeud source utilise l'adresse MAC de la passerelle comme adresse de destination, pour les trames contenant un paquet IPv4 adressé à des hôtes situés sur d'autres réseaux.
L'adresse de passerelle de l'interface du routeur est stockée dans la configuration IPv4 des hôtes. Lorsqu'un hôte crée un paquet pour une destination, il compare l'adresse IP de destination à sa propre adresse IP pour déterminer si celles-ci se situent sur le même réseau de couche 3. Si l'hôte destinataire ne se situe pas sur le même réseau, l'hôte source fait appel au processus ARP pour déterminer l'adresse MAC de l'interface du routeur qui sert de passerelle. Si l'entrée de la passerelle n'est pas dans la table, le processus ARP normal envoie une requête ARP pour retrouver l'adresse MAC associée à l'adresse IP de l'interface du routeur.
Reportez-vous aux Figures 1 à 5 pour visualiser le processus utilisé pour obtenir l'adresse MAC de la passerelle.
146
5.2.1.5 Suppression des entrées d'une table ARP
Pour chaque périphérique, un compteur de cache ARP supprime les entrées ARP qui n'ont pas été utilisées pendant un certain temps. Cette période varie en fonction des périphériques et des systèmes d'exploitation. Par exemple, certains systèmes d'exploitation Windows stockent les entrées de cache ARP pendant 2 minutes. Si l'entrée est de nouveau utilisée pendant ce temps, le compteur ARP de cette entrée est prolongé de 10 minutes.
Des commandes permettent aussi de supprimer manuellement les entrées de la table ARP totalement ou partiellement. Lorsqu'une entrée est supprimée, le processus d'envoi d'une requête ARP et de réception d'une réponse ARP doit être répété pour entrer le mappage dans la table ARP.
Chaque périphérique possède une commande propre au système d'exploitation permettant de supprimer le contenu du cache ARP. Ces commandes n'impliquent aucunement l'exécution du protocole ARP. Ils suppriment simplement les entrées de la table ARP. Le service ARP est intégré au protocole IPv4 et mis en oeuvre par le périphérique. Cette opération est transparente pour les utilisateurs et les applications des couches supérieures.
Comme l'illustre la figure, il est parfois nécessaire de supprimer une entrée de la table ARP.
5.2.1.6 Tables ARP sur les périphériques réseau
Sur un routeur Cisco, la commande show ip arp permet d'afficher la table ARP, comme illustré à la Figure 1.
Sur les ordinateurs exécutant Windows 7, c'est la commande arp –a qui affiche la table ARP, comme illustré à la Figure 2
5.2.1.7 Packet Tracer : examen de la table ARP
Cet exercice est optimisé pour l'affichage des PDU. Les périphériques sont déjà configurés. Vous recueillerez les informations sur les PDU en mode Simulation et répondrez à une série de questions sur les données recueillies.
Instructions de Packet Tracer - Analyse d'une table ARP PKA de Packet Tracer - Analyse d'une table ARP
5.2.1.8 Travaux pratiques - Analyse d'ARP avec la CLI
de Windows, la CLI d'IOS et Wireshark
Au cours de ce TP, vous aborderez les points suivants :
1re partie : Concevoir et configurer le réseau
2e partie : Utiliser la commande ARP de Windows
147
4e partie : Utiliser Wireshark pour examiner les échanges ARP
Travaux pratiques - Analyse d'ARP avec la CLI de Windows, la CLI d'IOS et Wireshark
5.2.2 Problèmes liés au protocole ARP
5.2.2.1 Problèmes potentiels engendrés par ARP
a figure présente deux problèmes potentiels liés au protocole ARP. Surcharge des supports
Comme les trames de diffusion, les requêtes ARP sont reçues et traitées par chaque périphérique du réseau local. Sur un réseau d'entreprise classique, ces diffusions auraient probablement une incidence minime sur les performances du réseau. Toutefois, si un grand nombre de périphériques sont mis sous tension et accèdent aux services du réseau au même moment, les performances du réseau peuvent s'en trouver momentanément réduites. Par exemple, si tous les participants d'une salle de travaux pratiques se connectent sur les ordinateurs et tentent d'accéder à Internet en même temps, cela peut engendrer des délais d'attente. En revanche, si les périphériques envoient les messages de diffusion ARP initiaux et disposent des adresses MAC nécessaires, l'impact sur le réseau sera minime.
Sécurité
Dans certains cas, l'utilisation du protocole ARP peut porter atteinte à la sécurité du réseau L'usurpation ARP, ou empoisonnement ARP, est une technique de piratage qui consiste à injecter un faux mappage d'adresse MAC dans un réseau en émettant de fausses réponses ARP. Si un pirate informatique usurpe l'adresse MAC d'un périphérique, les trames risquent d'être envoyées à la mauvaise destination.
La configuration manuelle d'associations ARP statiques est un moyen d'éviter l'usurpation ARP. Les adresses MAC autorisées peuvent être configurées sur certains périphériques du réseau pour limiter l'accès réseau aux seuls périphériques listés.
5.2.2.2 Limitation des problèmes engendrés par ARP
Les commutateurs récents permettent de limiter les problèmes de sécurité et de diffusion liés au protocole ARP. Les commutateurs Cisco prennent en charge plusieurs technologies de sécurité spécialement conçues pour réduire les problèmes Ethernet liés aux diffusions en général et à ARP en particulier.
Les commutateurs assurent la segmentation d'un réseau local et le divisent ainsi en domaines de collision distincts. Chaque port d'un commutateur représente un domaine de collision à part et fournit la bande passante totale du support jusqu'aux nœuds connectés sur ce port. Les commutateurs n'empêchent pas, par défaut, la propagation des diffusions aux périphériques connectés, mais ils isolent les communications Ethernet de monodiffusion de sorte qu'elles soient uniquement « entendues » par les périphériques source et de destination. Par conséquent, s'il existe de nombreuses requêtes ARP, chaque réponse ARP se fera uniquement entre deux périphériques.
148
Concernant les attaques de diffusion de différents types, auxquelles les réseaux Ethernet sont soumis, les ingénieurs réseau mettent en œuvre des technologies Cisco de sécurité des commutateurs, notamment des listes d'accès et des dispositifs de sécurité des ports spécialisés.