« Proxy ARP » : différence entre les versions

Navigation interactive dans l’historique

Contenu supprimé Contenu ajouté

Intégrés

Dernière version du 19 octobre 2023 à 07:45

Un proxy ARP ou parfois mandataire ARP, est un serveur qui répond aux requêtes ARP (Address Resolution Protocol) émises sur un réseau IP concernant une ou plusieurs adresses IP qui ne sont pas présentes sur ce réseau. Cette technique est décrite dans la RFC 1027^[1].

Principe

Le mandataire ARP connait le véritable emplacement de l'équipement qui possède cette adresse IP. Il répond aux requêtes ARP avec sa propre adresse MAC^[2]. Les échanges IP ultérieurs lui seront donc envoyés et il se chargera de les communiquer à l'emplacement réel de l'équipement à qui ils étaient destinés. Pour cela, il utilise souvent une autre interface ou un tunnel réseau.

Exemple

Supposons qu'un hôte A cherche à joindre un hôte B qui se trouve sur un autre réseau local Ethernet adjacent au premier réseau. Supposons également que l'on place un mandataire ARP possédant deux cartes réseau à cheval entre les deux réseaux. Supposons enfin que les adresses réseau soient :

Adresses	Réseau 1	Réseau 2
MAC du mandataire	00:DE:AD:BE:EF:01	00:DE:AD:BE:EF:02
IP de A	10.100.0.1	10.200.0.1 (fictive)
IP de B	10.100.0.2 (fictive)	10.200.0.2

L'hôte A envoie une requête ARP demandant l'adresse MAC de B. Le mandataire ARP répond à la demande de A en indiquant que l'adresse IP de B 10.100.0.2 est associée à son adresse MAC 00:DE:AD:BE:EF:01. Quand A envoie un paquet IP à B, il l'envoie avec l'adresse MAC du mandataire, qui le transmet à B. B reçoit ce paquet et voit que l'adresse IP source est 10.200.0.1 et que l'adresse MAC source est 00:DE:AD:BE:EF:02 : il ajoute cette correspondance à sa table ARP. Le paquet retour passera donc lui aussi par le mandataire. Finalement, on a remplacé un routeur, et ni A ni B ne se doutent qu'ils ne sont pas sur le même réseau.

Utilisations possibles

Joindre par une liaison point à point deux réseaux distants de façon transparente

Les deux réseaux distants peuvent être reliés par exemple par des modems ou par un tunnel chiffré.

D'habitude, dans ce genre de situations, on met en place des routeurs aux deux extrémités de la liaison point à point. Toutefois, si l'on remplace ces routeurs par des mandataires ARP, cela permet d'utiliser la même plage d'adresses (par exemple, 192.168.1.0/24) pour les machines locales aussi bien que pour les machines distantes, ce qui est impossible avec le routage.

Dans le cas particulier d'un tunnel, on construit ainsi un VPN complètement transparent (tous les utilisateurs croient être sur un même réseau local).

Remplacer temporairement un équipement défectueux

Le mandataire ARP va détourner les flux qui étaient normalement dirigés vers un serveur web, une imprimante ou n'importe quel autre équipement en panne vers un équipement de dépannage, sans qu'il soit nécessaire que l'équipement de remplacement soit dans le même réseau IP, ou que tous les postes clients ne soient reconfigurés.

Dans le cas particulier ou l'on remplace un routeur en panne, le routeur de dépannage peut avoir une adresse IP différente de celle du routeur en panne, bien que les deux soient (forcément) sur le même réseau IP. Le mandataire ARP évite de reconfigurer aussi bien l'adresse IP du routeur de dépannage que celle des clients lorsque l'on veut basculer. On construit ainsi une solutions de redondance des matériels. De fait, des solutions bien connues de redondance comme HSRP et VRRP utilisent une technique voisine, puisque les routeurs redondants adoptent une adresse ARP fictive commune.

Faire passer les flux réseau par un pare-feu ou un mandataire applicatif

On peut ainsi détourner les échanges avec, par exemple, un serveur Web pour les filtrer. Dans cette situation, il n'y a pas besoin de reconfigurer les clients. Le serveur sera sur un réseau différent ou sera reconfiguré avec une adresse IP différente.

Mobilité IP

Dans le cadre de la mobilité IP, l'agent personnel (Home Agent) peut devenir mandataire ARP pour recevoir les paquets destinés à la machine temporairement absente du réseau local et les transmettre à l'adresse « aux bons soins de » (Care-of address) de cette machine.

Migration d'un plan d'adressage

La mise en place d'un proxy-arp permettra d'éclater un réseau en plusieurs sous-réseaux. Lors de la modification complète des adresses IP et masques des sous-réseau des machines d'un réseau, un proxy-arp répondra aux machines dont les paramètres réseau correspondent à l'ancien adressage. Le proxy-arp pourra ensuite être désactivé à l'issue de la migration, quand toutes les machines auront rejoint leur nouveau plan d'adressage.

Avantages et inconvénients

Un des avantages des mandataires ARP est la simplicité de la solution. On peut ainsi étendre un réseau sans devoir déclarer un routeur de sortie.

Parmi les désavantages du mandataire ARP, le principal est qu'il monte difficilement en charge, puisqu'il doit à la fois répondre aux requêtes ARP de toutes les machines concernées et transmettre tous les flux réseau.

Si un mandataire ARP fonctionne mal ou est mal configuré, il risque d'attirer à lui tous les flux réseau sans les transmettre aux bons destinataires, créant ainsi un trou noir (black hole) sur le réseau.

S'il tombe entre de mauvaises mains, un mandataire réseau permet d'écouter les échanges réseau et même de les trafiquer (mais c'est également le cas de n'importe quel autre équipement intermédiaire).

Un mandataire ARP a tendance à augmenter la quantité de trafic ARP transitant sur le segment réseau sur lequel il est mis en œuvre et de fait à augmenter la taille des tables ARP des machines présentes sur ce segment^[3].

Notes et références

↑ (en) « Using ARP to Implement Transparent Subnet Gateways », Request for comments n^o 1027, novembre 1987
↑ Ce n'est que dans le cas d'un réseau Ethernet que le mandataire ARP répond avec sa propre adresse MAC ; dans le cas général, il répond avec sa propre adresse de couche 2.
↑ Explication sur le site de Cisco

Voir aussi

Sources

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Proxy ARP » (voir la liste des auteurs).

Articles connexes

Bibliographie

(en) W. Richard Stevens. The Protocols (TCP/IP Illustrated, Volume 1). Addison-Wesley Professional; 1^re édition, 31 décembre 1993. (ISBN 0-201-63346-9)

Liens externes

(en) RFC 925 – Multi-LAN Address Resolution
(en) RFC 1027 – Using ARP to Implement Transparent Subnet Gateways
(en) Cisco Proxy ARP Advantages/Disadvantages

[RFC-1027-t-d-1] (en) « Using ARP to Implement Transparent Subnet Gateways », Request for comments n^o 1027, novembre 1987

[2] Ce n'est que dans le cas d'un réseau Ethernet que le mandataire ARP répond avec sa propre adresse MAC ; dans le cas général, il répond avec sa propre adresse de couche 2.

[3] Explication sur le site de Cisco

[1]

[2]

[3]

@@ Ligne 1 : / Ligne 1 : @@
+{{voir homonymes|Proxy (homonyme)}}
-Un '''proxy ARP'''  ou parfois '''mandataire ARP''', est un serveur qui répond aux requêtes [[Address Resolution Protocol|ARP]] (''Address Resolution Protocol'') émises sur un réseau [[Internet Protocol|IP]] concernant une ou plusieurs [[adresse IP|adresses IP]] qui ne sont pas présentes sur ce réseau. Cette technique est décrite dans la RFC 1027.
+Un '''proxy ARP'''  ou parfois '''mandataire ARP''', est un serveur qui répond aux requêtes [[Address Resolution Protocol|ARP]] (''Address Resolution Protocol'') émises sur un réseau [[Internet Protocol|IP]] concernant une ou plusieurs [[adresse IP|adresses IP]] qui ne sont pas présentes sur ce réseau. Cette technique est décrite dans la {{RFC|1027|titre=Using ARP to Implement Transparent Subnet Gateways|date=novembre 1987}}.
 == Principe ==
@@ Ligne 18 : / Ligne 20 : @@
 |}
-L'hôte ''A'' envoie une requête ARP demandant l'adresse de MAC de ''B''. Le mandataire ARP répond à la demande de ''A'' en indiquant que l'adresse IP de ''B'' 10.100.0.2 est associée à son adresse MAC 00:DE:AD:BE:EF:01. Quand ''A'' envoie un paquet IP à B, il l'envoie avec l'adresse MAC du mandataire, qui le transmet à B. B reçoit ce paquet et voit que l'adresse IP source est 10.200.0.1 et que l'adresse MAC source est 00:DE:AD:BE:EF:02 : il ajoute cette correspondance à sa table ARP. Le paquet retour passera donc lui aussi par le mandataire. Au final, on a remplacé un routeur, et ni ''A'' ni ''B'' ne se doutent qu'ils ne sont pas sur le même réseau.
+L'hôte ''A'' envoie une requête ARP demandant l'adresse MAC de ''B''. Le mandataire ARP répond à la demande de ''A'' en indiquant que l'adresse IP de ''B'' 10.100.0.2 est associée à son adresse MAC 00:DE:AD:BE:EF:01. Quand ''A'' envoie un paquet IP à B, il l'envoie avec l'adresse MAC du mandataire, qui le transmet à B. B reçoit ce paquet et voit que l'adresse IP source est 10.200.0.1 et que l'adresse MAC source est 00:DE:AD:BE:EF:02 : il ajoute cette correspondance à sa table ARP. Le paquet retour passera donc lui aussi par le mandataire. Finalement, on a remplacé un routeur, et ni ''A'' ni ''B'' ne se doutent qu'ils ne sont pas sur le même réseau.
 == Utilisations possibles ==
-; Joindre par une liaison point à point deux réseaux distants de façon transparente
+; Joindre par une [[liaison point à point]] deux réseaux distants de façon transparente
 : Les deux réseaux distants peuvent être reliés par exemple par des modems ou par un tunnel chiffré.
 : D'habitude, dans ce genre de situations, on met en place des routeurs aux deux extrémités de la liaison point à point. Toutefois, si l'on remplace ces routeurs par des mandataires ARP, cela permet d'utiliser la même plage d'adresses (par exemple, 192.168.1.0/24) pour les machines locales aussi bien que pour les machines distantes, ce qui est impossible avec le routage.
-: Dans le cas particulier d'un tunnel, on construit ainsi un [[Réseau virtuel privé|VPN]] complètement transparent (tous les utilisateurs croient être sur un même réseau local).
+: Dans le cas particulier d'un tunnel, on construit ainsi un [[Réseau_privé_virtuel|VPN]] complètement transparent (tous les utilisateurs croient être sur un même réseau local).
-:
 ; Remplacer temporairement un équipement défectueux
-: Le mandataire ARP va détourner les flux qui étaient normalement dirigés vers un serveur web, une imprimante ou n'importe quel autre équipement en panne vers un équipement de dépannage, sans qu'il soit nécessaire que l'équipement de remplacement soit dans le même réseau IP, ou que tous les postes clients ne soient reconfigurés.
+: Le mandataire ARP va détourner les flux qui étaient normalement dirigés vers un [[serveur web]], une [[imprimante]] ou n'importe quel autre équipement en panne vers un équipement de dépannage, sans qu'il soit nécessaire que l'équipement de remplacement soit dans le même réseau IP, ou que tous les postes clients ne soient reconfigurés.
-: Dans le cas particulier ou l'on remplace un routeur en panne, le routeur de dépannage peut avoir une adresse IP différente de celle du routeur en panne, bien que les deux soient (forcément) sur le même réseau IP. Le mandataire ARP évite de reconfigurer aussi bien l'adresse IP du routeur de dépannage que celle des clients lorsque l'on veut basculer. On construit ainsi une solutions de [[redondance du matériel]]. De fait, des solutions bien connues de redondance comme [[Hot Standby Router Protocol|HSRP]] et [[Virtual Router Redundancy Protocol|VRRP]] utilisent une technique voisine, puisque les routeurs redondants adoptent une adresse ARP fictive commune.
+: Dans le cas particulier ou l'on remplace un routeur en panne, le routeur de dépannage peut avoir une adresse IP différente de celle du routeur en panne, bien que les deux soient (forcément) sur le même réseau IP. Le mandataire ARP évite de reconfigurer aussi bien l'adresse IP du routeur de dépannage que celle des clients lorsque l'on veut basculer. On construit ainsi une solutions de [[redondance des matériels]]. De fait, des solutions bien connues de redondance comme [[Hot Standby Router Protocol|HSRP]] et [[Virtual Router Redundancy Protocol|VRRP]] utilisent une technique voisine, puisque les routeurs redondants adoptent une adresse ARP fictive commune.
 ; Faire passer les flux réseau par un pare-feu ou un mandataire applicatif
 : On peut ainsi détourner les échanges avec, par exemple, un serveur Web pour les filtrer. Dans cette situation, il n'y a pas besoin de reconfigurer les clients. Le serveur sera sur un réseau différent ou sera reconfiguré avec une adresse IP différente.
 ; Mobilité IP
@@ Ligne 49 : / Ligne 50 : @@
 : La mise en place d'un proxy-arp permettra d'éclater un réseau en plusieurs sous-réseaux. Lors de la modification complète des [[Adresse_ip|adresses IP]] et [[Sous-r%C3%A9seau|masques des sous-réseau]] des machines d'un réseau, un proxy-arp répondra aux machines dont les paramètres réseau correspondent à l'ancien adressage. Le proxy-arp pourra ensuite être désactivé à l'issue de la migration, quand toutes les machines auront rejoint leur nouveau plan d'adressage.
-==Avantages et inconvénients==
+== Avantages et inconvénients ==
 Un des avantages des mandataires ARP est la simplicité de la solution. On peut ainsi étendre un réseau sans devoir déclarer un routeur de sortie.
@@ Ligne 56 : / Ligne 57 : @@
 Si un mandataire ARP fonctionne mal ou est mal configuré, il risque d'attirer à lui tous les flux réseau sans les transmettre aux bons destinataires, créant ainsi un [[Black hole (informatique)|trou noir]] (''black hole'') sur le réseau.
-S'il tombe entre de mauvaises mains, un mandataire réseau permet d'écouter les échange réseau et même de les trafiquer (mais c'est également le cas de n'importe quel autre équipement intermédiaire).
+S'il tombe entre de mauvaises mains, un mandataire réseau permet d'écouter les échanges réseau et même de les trafiquer (mais c'est également le cas de n'importe quel autre équipement intermédiaire).
-Un mandataire ARP a tendance à augmenter la quantité de trafic ARP transitant sur le segment réseau sur lequel il est mis en œuvre et de fait à augmenter la taille des tables ARP des machines présentes sur ce segment. [[http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml]]
+Un mandataire ARP a tendance à augmenter la quantité de trafic ARP transitant sur le segment réseau sur lequel il est mis en œuvre et de fait à augmenter la taille des [[Table_ARP | tables ARP]] des machines présentes sur ce segment<ref>[http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml Explication sur le site de Cisco]</ref>.
 == Notes et références ==
@@ Ligne 65 : / Ligne 66 : @@
 == Voir aussi ==
 === Sources ===
-* {{Traduction/Référence|en|Proxy ARP|468212111}}
+{{Traduction/Référence|en|Proxy ARP|468212111}}
 === Articles connexes ===
 * [[Proxy]]
 * [[ARP poisoning]]
+* [[Address_Resolution_Protocol | ARP]]
 === Bibliographie ===
-* {{en}} W. Richard Stevens. The Protocols (TCP/IP Illustrated, Volume 1). Addison-Wesley Professional; 1ère édition, 31 décembre 1993. ISBN 0-201-63346-9
+* {{en}} W. Richard Stevens. The Protocols (TCP/IP Illustrated, Volume 1). Addison-Wesley Professional; {{1re|édition}}, {{date-|31 décembre 1993}}. {{ISBN|0-201-63346-9}}
 === Liens externes ===
-* {{en}} RFC 925 – Multi-LAN Address Resolution
+* {{en}} [[:rfc:925|RFC 925]] – Multi-LAN Address Resolution
-* {{en}} RFC 1027 – Using ARP to Implement Transparent Subnet Gateways
+* {{en}} [[:rfc:1027|RFC 1027]] – Using ARP to Implement Transparent Subnet Gateways
-* {{en}} [http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml | Cisco Proxy ARP] Advantages/Disadvantages
+* {{en}} [http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml  Cisco Proxy ARP] Advantages/Disadvantages
 {{Portail|informatique|télécommunications}}
@@ Ligne 83 : / Ligne 85 : @@
 [[Catégorie:Proxy]]
-[[cs:Proxy ARP]]
 [[de:Address Resolution Protocol#Proxy ARP]]
-[[es:Proxy ARP]]
-[[en:Proxy ARP]]
-[[it:Proxy ARP]]
-[[pt:Proxy arp]]
-[[ru:Proxy ARP]]