1、 路由式ARP代理

有时为了便于管理，在一个公司的内部往往需要将一个大型的网络划分为若干子网。此时，可以修改网络内主机的路由信息，使发往其它子网的数据先发送到连接不同子网的网关设备上，再由网关设备转发此数据报文。但是，这种解决方案并不是一个便于管理和维护的方案。当连接主机的网关设备具有不同的网关地址时，可以部署路由式ARP代理功能，将网关设备端口的MAC地址发送给请求的主机。

结合图1，以HostA和HostB通信为例，介绍路由式ARP代理的实现过程。

图 1 路由式 ARP 代理典型组网图

a. HostA发送ARP请求报文，请求目的主机HostB的MAC地址。

b. PE收到此ARP请求报文，检查报文的目的IP地址发现并不是请求自己的MAC地址。 PE检查是否存在到达HostB的路由，

n 发现有到HostB的路由，于是判断Interface1上是否使能了路由式ARP代理功能。○ 如果使能了路由式ARP代理功能， PE将自己的端口Interface1的MAC地址发送给HostA。

○ 如果没有使能路由式ARP代理功能， PE丢弃HostA发送的ARP请求报文。

n 发现没有到HostB的路由，于是丢弃HostA发送的ARP请求报文，不执行任何操作。

c. HostA学到Interface1的MAC地址之后，将根据此MAC地址把数据报文发送给设备PE。PE收到数据报文之后，由其完成将数据报文发送给HostB的过程。

2、 VLAN内ARP代理

结合图2，以HostA和HostC通信为例，介绍VLAN内ARP代理的实现过程。

图 2 VLAN 内 ARP 代理典型组网图

HostA、 HostB和HostC属于同一个VLAN，但是在CE上配置了不同接口间彼此隔离，因此HostA和HostC不能直接在二层互通。此时，可以在CE上通过配置接口Interface1，并且使能VLAN内ARP代理功能，实现HostA和HostC的互通。

a. HostA发送ARP请求报文，请求目的主机HostC的MAC地址。

b. CE收到此ARP请求报文，检查报文的目的IP地址发现并不是请求自己的Interface1接口的MAC地址。 CE查找自己的ARP表

n 发现有HostC对应的ARP表项，于是判断Interface1上是否使能了VLAN内ARP代理功能。

○ 如果使能了VLAN内ARP代理功能， CE将自己的Interface1接口的MAC地址发送给HostA。

○ 如果没有使能VLAN内ARP代理功能， CE丢弃该ARP请求报文。

n 发现没有HostC对应的ARP表项，于是丢弃HostA发送的ARP请求报文，同时判断本设备是否使能了VLAN内ARP代理功能。

○ 如果使能了VLAN内ARP代理功能， CE在VLAN4内广播发送ARP请求报文，该请求报文的目的IP地址为HostC的IP地址。收到HostC发送的ARP响应报文后， CE在ARP表中生成相应的ARP表项。

○ 如果没有使能VLAN内ARP代理功能， CE不执行任何操作。

c. HostA学到Interface1接口的MAC地址之后，将根据此MAC地址把数据报文发送给设备CE。CE收到数据报文之后，由其完成将数据报文发送给HostC的过程。

3、 VLAN间ARP代理

结合图3，以HostA和HostB通信为例，介绍VLAN间ARP代理的实现过程。

图 3 VLAN 间 ARP 代理典型组网图

HostA属于VLAN 3，而HostB属于VLAN 2，显然在未对PE配置接口Interface1并且使能VLAN间ARP代理的时候，两者是不能够进行通信的。此时，可以在PE上配置接口Interface1，并且使能VLAN间ARP代理，实现HostA和HostB的互通。

a. HostA发送ARP请求报文，请求目的主机HostB的MAC地址。

b. PE收到此ARP请求报文，检查报文的目的IP地址发现并不是请求自己的Interface1接口的MAC地址。 PE查找自己的ARP表，

n 发现有HostB对应的ARP表项，于是判断Interface1上是否使能了VLAN间ARP代理功能。

○ 如果使能了VLAN间ARP代理功能， PE将自己的Interface1接口的MAC地址发送给HostA。

○ 如果没有使能VLAN间ARP代理功能， PE丢弃该ARP请求报文。

n 发现没有HostB对应的ARP表项，于是丢弃HostA发送的ARP请求报文，同时判断本设备是否使能了VLAN间ARP代理功能。

○ 如果使能了VLAN间ARP代理功能， PE在VLAN2内广播发送ARP请求报文，该请求报文的目的IP地址为HostB的IP地址。收到HostB发送的ARP响应报文后， PE在ARP表中生成相应的ARP表项。

○ 如果没有使能VLAN间ARP代理功能， PE不执行任何操作。

c. HostA学到接口Interface1的MAC地址之后，将根据此MAC地址把数据报文发送给设备PE。PE收到数据报文之后，由其完成将数据报文发送给HostB的过程。

适用场景

使用价值

l ARP代理实际上是使用了简单的欺骗手段，使网络内的主机错误地认为目的主机和自己处于同一网段内，这样可隐藏物理网络的细节，从而达到透明化子网划分的目的。

l ARP代理的所有处理都是在网关进行，不需要对所连网络中的主机做任何配置。并且， ARP代理只影响主机的ARP表，对网关的ARP表和路由表没有任何影响。

l ARP代理功能可以在主机没有配置缺省网关或者主机没有任何路由能力的情况下使用。