Übung Beobachten von ARP mit Windows CLI, IOS CLI und ... Lab... · Dieses Dokument ist eine...

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 1 von 12

Übung – Beobachten von ARP mit Windows CLI, IOS CLI und

Wireshark

Topologie

Adressierungstabelle

Gerät Schnittstelle IP-Adresse Subnetzmaske Default Gateway

R1 G0/1 192.168.1.1 255.255.255.0 k. A.

S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1

S2 VLAN 1 192.168.1.12 255.255.255.0 192.168.1.1

PC-A Netzwerkkarte 192.168.1.3 255.255.255.0 192.168.1.1

PC-B Netzwerkkarte 192.168.1.2 255.255.255.0 192.168.1.1

Lernziele

Teil 1: Aufbau und Konfiguration eines Netzwerks

Teil 2: Verwenden des Windows-Befehls ARP

Teil 3: Verwenden des IOS-Befehls Show ARP

Teil 4: Verwenden von Wireshark zum Prüfen von ARP-Vermittlungen

Hintergrund / Szenario

Das Address Resolution Protocol (ARP) wird von TCP/IP verwendet, um eine Schicht-3-IP-Adresse einer Schicht-2-MAC-Adresse zuzuordnen. Wenn ein Frame auf das Netzwerk gesetzt wird, benötigt er eine MAC-

Lab – Beobachten von ARP mit Windows CLI, IOS CLI und Wireshark


Zieladresse. Um die MAC-Adresse des Zielgeräts dynamisch zu erkennen, wird eine ARP-Anfrage auf dem LAN gesendet. Das Gerät, das die Ziel-IP-Adresse enthält, antwortet, und die MAC-Adresse wird im ARP-Cache gespeichert. Jedes Gerät im LAN hält seinen eigenen ARP-Cache oder einen kleinen Bereich im RAM, der ARP-Ergebnisse aufnimmt. Ein ARP-Cache-Timer entfernt ARP-Einträge, die für eine bestimmte Zeitdauer nicht verwendet wurden.

ARP ist ein hervorragendes Beispiel für Leistungskompromisse. Ohne Cache muss ARP Adressumsetzungen jedes Mal, wenn ein Frame auf das Netzwerk gesetzt wird, anfordern. Das führt zu Verzögerungen in der Kommunikation und könnte das LAN verstopfen. Umgekehrt könnten unbegrenzte Haltezeiten Fehler mit Geräten verursachen, die aus dem Netzwerk herausgenommen oder deren Schicht-3-Adressen geändert wurden.

Ein Netzwerkadministrator sollte sich ARP bewusst sein, aber er kann mit dem Protokoll nicht regulär interagieren. ARP ist ein Protokoll, das Netzwerkgeräten die Kommunikation mit dem TCP/IP-Protokoll ermöglicht. Ohne ARP gibt es keine effiziente Methode, um das Datagramm der Schicht-2-Zieladresse aufzubauen. Außerdem ist ARP ein potenzielles Sicherheitsrisiko. ARP-Spoofing oder ARP-Poisoning ist eine Technik, die von einem Angreifer verwendet wird, um eine falsche MAC-Adressenzuordnung in einem Netzwerk einzuführen. Ein Angreifer fälscht die MAC-Adresse eines Geräts und Frames werden an den falschen Empfänger gesendet. Die manuelle Konfiguration statischer ARP-Zuordnungen ist eine Möglichkeit, ARP-Spoofing zu verhindern. Schließlich kann eine autorisierte MAC-Adressliste auf Cisco-Geräten konfiguriert werden, um den Netzwerkzugriff nur auf zugelassene Geräte zu beschränken.

In dieser Übung werden Sie die ARP-Befehle auf Windows- sowie auf Cisco-Routern anwenden, um die ARP-Tabelle anzuzeigen. Sie werden auch den ARP-Cache löschen und statische ARP-Einträge hinzufügen.

Hinweis: Die in den praktischen CCNA-Übungen verwendeten Router sind Cisco 1941 Integrated Services Routers (ISRs) mit Cisco IOS Release 15.2(4)M3 (universalk9 image). Die verwendeten Switche sind Cisco Catalyst 2960s mit Cisco IOS Release 15.0(2) (lanbasek9 image). Andere Router, Switche und Cisco IOS-Versionen können verwendet werden. Je nach Modell und Cisco IOS-Version können die verfügbaren Befehle und deren Ergebnisse von den in den Übungen gezeigten abweichen. Siehe Router-Schnittstellen-Übersichtstabelle am Ende dieser Übung für die richtigen Schnittstellenkennungen.

Hinweis: Stellen Sie sicher, dass die Router und Switche gelöscht wurden und keine Startkonfigurationen vorhanden sind. Wenn Sie unsicher sind, wenden Sie sich an Ihren Instruktor.

Erforderliche Ressourcen

1 Router (Cisco 1941 mit Cisco IOS Release 15.2(4)M3 universal image oder vergleichbar)

2 Switche (Cisco 2960 mit Cisco IOS Release 15.0(2) lanbasek9 image oder vergleichbar)

2 PCs (Windows 7, Vista oder XP mit Terminalemulationsprogramm wie Tera Term und installiertem

Wireshark)

Konsolenkabel zum Konfigurieren der Cisco IOS-Geräte über die Konsolenports

Ethernet-Kabel wie in der Topologie gezeigt

Hinweis: Die Fast Ethernet-Schnittstellen an Cisco 2960-Switchen sind Autosensing-Schnittstellen und ein Ethernet-Durchgangskabel (straight-through) kann zwischen Switch S1 und S2 verwendet werden. Bei Verwendung eines anderen Cisco-Switch-Modells kann es notwendig sein, ein Ethernet-Crossover-Kabel zu verwenden.



Part 1: Aufbau und Konfiguration eines Netzwerks

Step 1: Netzwerk gemäß Topologie verkabeln

Step 2: Die IP-Adressen für die Geräte gemäß Adressierungstabelle konfigurieren

Step 3: Netzwerkkonnektivität durch Pingen aller Geräte von PC-B aus überprüfen

Part 2: Verwenden des Windows-Befehls ARP

Der Befehl arp ermöglicht dem Benutzer, den ARP-Cache in Windows anzuzeigen und zu ändern. Der Zugriff auf diesen Befehl erfolgt über die Windows-Eingabeaufforderung.

Step 1: Den ARP-Cache anzeigen

a. Öffnen Sie ein Befehlseingabefenster auf PC-A und geben Sie arp ein.

C:\Users\User1> arp

Zeigt die von Address Resolution Protocol (ARP) verwendete Umsetzungstabelle der

IP-Adresse in physikalische Adresse an und ändert diese.

ARP -s inet_addr eth_addr [if_addr]

ARP -d inet_addr [if_addr]

ARP -a [inet_addr] [-N if_addr] [-v]

-a Zeigt aktuelle ARP-Einträge durch Abfrage der aktuellen

Protokolldaten. Falls inet_addr angegeben ist, werden die IP- und

physikalische Adresse nur für den spezifizierten Computer angezeigt.

Falls mehr als eine Netzschnittstelle ARP nutzen, werden Einträge

für jede ARP-Tabelle angezeigt.

-g Das gleiche wie -a.

-v Zeigt aktuelle ARP-Einträge ausführlich an. Alle ungültigen

Einträge und Einträge auf der Loopback-Schnittstelle werden angezeigt.

inet_addr Spezifiziert eine Internet-Adresse.

-N if_addr Zeigt die ARP-Einträge für die Netzschnittstelle, die

durch if_addr spezifiziert ist.

-d Löscht den durch inet_addr spezifizierten Host. inet_addr kann

mit Wildcards mit * verwendet werden, um alle Hosts zu löschen.

-s Fügt den Host hinzu und verbindet die Internet-Adresse inet_addr

mit der physikalischen Adresse address eth_addr. Die physikalische

Adresse wird als 6 hexadezimale Byte, getrennt durch Bindestriche,

angegeben. Der Eintrag ist dauerhaft.

eth_addr Spezifiziert eine physikalische Adresse.

if_addr Falls vorhanden, gibt das die Internet-Adresse an für die

Schnittstelle, deren Adressumsetzungstabelle geändert werden soll.

Falls nicht vorhanden, wird die erste anwendbare Schnittstelle verwendet.

Beispiel:

> arp -s 157.55.85.212 00-aa-00-62-c6-09 .... Fügt einen statischen Eintrag

hinzu.

> arp -a .... Zeigt die ARP-Tabelle an.



b. Prüfen Sie die Ausgabe.

Welcher Befehl würde verwendet, um alle Einträge im ARP-Cache anzuzeigen?

____________________________________________________________________________________

Welcher Befehl würde verwendet, um die ARP-Cache-Einträge zu löschen (ARP-Cache räumen)?

____________________________________________________________________________________

Welcher Befehl würde verwendet werden, um den ARP-Cache-Eintrag für 192.168.1.11 zu löschen?

____________________________________________________________________________________

c. Geben Sie arp –a ein, um die ARP-Tabelle anzuzeigen.

C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type

192.168.1.1 d4-8c-b5-ce-a0-c1 dynamic

192.168.1.255 ff-ff-ff-ff-ff-ff static

224.0.0.22 01-00-5e-00-00-16 static

224.0.0.252 01-00-5e-00-00-fc static

239.255.255.250 01-00-5e-7f-ff-fa static

Hinweis: Die ARP-Tabelle ist leer, falls Sie Windows XP verwenden (wie unten angezeigt).

C:\Documents and Settings\User1> arp -a

No ARP Entries Found.

d. Senden Sie einen Ping von PC-A an PC-B, um Einträge im ARP-Cache dynamisch hinzuzufügen.

C:\Documents and Settings\User1> ping 192.168.1.2

Interface: 192.168.1.3 --- 0xb


192.168.1.2 00-50-56-be-f6-db dynamic

Was ist die physikalische Adresse für den Host mit einer IP-Adresse 192.168.1.2?

____________________________________________________________________________________

Step 2: Einträge im ARP-Cache manuell anpassen

Zum Löschen von Einträgen im ARP-Cache erteilen Sie den Befehl arp –d {inet-addr | *}. Adressen können

einzeln gelöscht werden durch Angabe der IP-Adresse oder alle Einträge können mit der Wildcard * gelöscht werden.

Überprüfen Sie, dass der ARP-Cache die folgenden Einträge enthält: R1 G0/1 default gateway (192.168.1.1), PC-B (192.168.1.2) und beide Switche (192.168.1.11 and 192.168.1.12).

a. Senden Sie einen Ping von PC-A an alle Adressen in der Adresstabelle.



b. Überprüfen Sie, dass die Adressen zum ARP-Cache hinzugefügt wurden. Falls eine Adresse nicht im ARP-Cache ist, senden Sie einen Ping an die Zieladresse und überprüfen Sie, dass die Adresse zum ARP-Cache hinzugefügt worden ist.


Interface: 192.168.1.3 --- 0xb


192.168.1.1 d4-8c-b5-ce-a0-c1 dynamic

192.168.1.2 00-50-56-be-f6-db dynamic

192.168.1.11 0c-d9-96-e8-8a-40 dynamic

192.168.1.12 0c-d9-96-d2-40-40 dynamic


224.0.0.22 01-00-5e-00-00-16 static

224.0.0.252 01-00-5e-00-00-fc static

239.255.255.250 01-00-5e-7f-ff-fa static

c. Greifen Sie als Administrator auf die Befehlseingabe zu. Klicken Sie auf das Symbol Start und geben Sie im Feld Search programs and file cmd ein. Wenn das Symbol cmd erscheint, klicken Sie mit der rechten Maustaste auf das Symbol und wählen Sie Run as Anministrator. Klicken Sie auf Yes, damit dieses Programm Änderungen vornehmen darf.

Hinweis: Für Windows XP-Anwender sind Administratorrechte notwendig, um ARP-Cache-Einträge zu ändern.



d. Im Administrator-Befehlseingabefenster geben Sie arp –d * ein. Mit diesem Befehl werden alle Einträge im ARP-Cache gelöscht. Überprüfen Sie, dass die Einträge im ARP-Cache gelöscht sind durch Eingabe von arp –a an der Eingabeaufforderung.

C:\windows\system32> arp –d *

C:\windows\system32> arp –a

No ARP Entries Found.

e. Warten Sie einige Minuten. Das Neighbor Discovery-Protokoll beginnt mit dem erneuten befüllen des ARP-Caches.


Interface: 192.168.1.3 --- 0xb



Hinweis: Das Neighbor Discovery-Protokoll ist in Windows XP nicht implementiert.

f. Von PC-A senden Sie einen Ping an PC-B (192.168.1.2) und an die Switche (192.168.1.11 und 192.168.1.12), um die ARP-Einträge hinzuzufügen. Überprüfen Sie, dass die ARP-Einträge zum Cache hinzugefügt worden sind.


Interface: 192.168.1.3 --- 0xb


192.168.1.2 00-50-56-be-f6-db dynamic

192.168.1.11 0c-d9-96-e8-8a-40 dynamic

192.168.1.12 0c-d9-96-d2-40-40 dynamic


g. Notieren Sie die physikalische Adresse für Switch S2.

___________________________________

h. Löschen Sie einen bestimmten ARP-Cache-Eintrag durch Eingabe von arp –d inet-addr. An der Eingabeaufforderung geben Sie arp -d 192.168.1.12 ein zum Löschen des ARP-Eintrags für S2.

C:\windows\system32> arp –d 192.168.1.12

i. Geben Sie arp –a ein, um zu überprüfen, dass der ARP-Eintrag für S2 aus dem ARP-Cache entfernt wurde.


Interface: 192.168.1.3 --- 0xb


192.168.1.2 00-50-56-be-f6-db dynamic

192.168.1.11 0c-d9-96-e8-8a-40 dynamic


j. Sie können einen bestimmten ARP-Cache-Eintrag hinzufügen durch Eingabe von arp –s inet_addr mac_addr. Die IP-Adresse und MAC-Adresse für S2 wird in diesem Beispiel verwendet. Verwenden Sie die in Schritt g notierte MAC-Adresse.

C:\windows\system32> arp –s 192.168.1.12 0c-d9-96-d2-40-40

k. Überprüfen Sie, dass der ARP-Eintrag für S2 zum Cache hinzugefügt wurde.



Part 3: Verwenden des IOS-Befehls show arp

Das Cisco-IOS kann ebenfalls den ARP-Cache auf Routern und Switchen anzeigen mit dem Befehl show arp oder show ip arp.

Step 1: ARP-Einträge auf Router R1 anzeigen

R1# show arp

Protocol Address Age (min) Hardware Addr Type Interface

Internet 192.168.1.1 - d48c.b5ce.a0c1 ARPA GigabitEthernet0/1

Internet 192.168.1.2 0 0050.56be.f6db ARPA GigabitEthernet0/1

Internet 192.168.1.3 0 0050.56be.768c ARPA GigabitEthernet0/1

R1#

Beachten Sie, dass es kein Age (-) für den ersten Eintrag gibt, Router-Schnittstelle G0/1 (der LAN-Default Gateway). Das Alter (Age) ist die Zahl in Minuten (min), die der Eintrag im ARP-Cache gewesen ist und wird für die anderen Einträge inkrementiert. Das Neighbor Discovery-Protokoll füllt die IP- und MAC-Adresse für PC-A und PC-B in den ARP-Einträgen auf.

Step 2: ARP-Einträge auf Router R1 hinzufügen

Sie können ARP-Einträge zu der ARP-Tabelle des Routers durch Pingen anderer Geräte hinzufügen.

a. Senden Sie einen Ping an Switch S1.

R1# ping 192.168.1.11

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.11, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms

b. Überprüfen Sie, dass ein ARP-Eintrag für Switch S1 zu der ARP-Tabelle von R1 hinzugefügt wurde.

R1# show ip arp


Internet 192.168.1.1 - d48c.b5ce.a0c1 ARPA GigabitEthernet0/1

Internet 192.168.1.2 6 0050.56be.f6db ARPA GigabitEthernet0/1

Internet 192.168.1.3 6 0050.56be.768c ARPA GigabitEthernet0/1

Internet 192.168.1.11 0 0cd9.96e8.8a40 ARPA GigabitEthernet0/1

R1#

Step 3: ARP-Einträge auf Switch S1 anzeigen

S1# show ip arp


Internet 192.168.1.1 46 d48c.b5ce.a0c1 ARPA Vlan1

Internet 192.168.1.2 8 0050.56be.f6db ARPA Vlan1

Internet 192.168.1.3 8 0050.56be.768c ARPA Vlan1

Internet 192.168.1.11 - 0cd9.96e8.8a40 ARPA Vlan1

S1#

Step 4: ARP-Einträge auf Switch S1 hinzufügen

Durch Pingen weiterer Geräte können ARP-Einträge zu der ARP-Tabelle des Switches hinzugefügt werden.

a. Senden Sie von Switch S1 einen Ping an Switch S2.



S1# ping 192.168.1.12

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.12, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/8 ms

b. Überprüfen Sie, dass der ARP-Eintrag für Switch S2 zu der ARP-Tabelle von S1 hinzugefügt wurde.

S1# show ip arp


Internet 192.168.1.1 5 d48c.b5ce.a0c1 ARPA Vlan1

Internet 192.168.1.2 11 0050.56be.f6db ARPA Vlan1

Internet 192.168.1.3 11 0050.56be.768c ARPA Vlan1

Internet 192.168.1.11 - 0cd9.96e8.8a40 ARPA Vlan1

Internet 192.168.1.12 2 0cd9.96d2.4040 ARPA Vlan1

S1#

Part 4: Verwenden von Wireshark zum Prüfen von ARP-Vermittlungen

In Teil 4 prüfen Sie ARP-Vermittlungen unter Verwendung von Wireshark zum Erfassen und Bewerten der ARP-Vermittlung. Sie werden außerdem die durch ARP-Vermittlungen verursachte Netzwerkverzögerung zwischen Geräten untersuchen.

Step 1: Wireshark für Paketerfassung konfigurieren

a. Starten Sie Wireshark.

b. Wählen Sie die Netzwerkschnittstelle, die für die Erfassung der ARP-Vermittlungen genutzt werden soll.

Step 2: ARP-Kommunikation erfassen und bewerten

a. Starten Sie das Erfassen von Paketen in Wireshark. Verwenden Sie den Filter, um nur ARP-Pakete anzuzeigen.

b. Räumen Sie den ARP-Cache durch Eingabe des Befehls arp –d * an der Eingabeaufforderung.

c. Überprüfen Sie, dass der Cache gelöscht wurde.

d. Senden Sie einen Ping an den Default Gateway mit dem Befehl ping 192.168.1.1.

e. Stoppen Sie die Erfassung mit Wireshark, nachdem das anpingen des Default Gateways beendet ist.

f. Prüfen Sie die Wireshark-Erfassung der ARP-Vermittlungen im Abschnitt Paketdetails.

Was ist das erste ARP-Paket? ___________________________



Tragen Sie in die folgende Tabelle Informationen über das erste erfasste ARP-Paket ein.

Feld Wert

Sender-MAC-Adresse

Sender-IP-Adresse

Empfänger-MAC-Adresse

Empfänger-IP-Adresse:

Was war das zweite ARP-Paket? ______________________________



Tragen Sie in die folgende Tabelle Informationen über das zweite erfasste ARP-Paket ein.

Feld Wert

Sender-MAC-Adresse

Sender-IP-Adresse

Empfänger-MAC-Adresse

Empfänger-IP-Adresse:

Step 3: Netzwerkverzögerung verursacht durch ARP prüfen

a. Löschen Sie die ARP-Einträge auf PC-A.

b. Starten Sie eine Erfassung mit Wireshark.

c. Pingen Sie Switch S2 (192.168.1.12) an. Der Ping sollte nach der ersten Echoanfrage erfolgreich sein.

Hinweis: Falls alle Pings erfolgreich waren, sollte S1 neu gestartet werden, um Netzwerkverzögerung durch ARP zu beobachten.

C:\Users\User1> ping 192.168.1.12

Request timed out.

Reply from 192.168.1.12: bytes=32 time=2ms TTL=255



Ping statistics for 192.168.1.12:

Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),



Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 3ms, Average = 2ms

d. Stoppen Sie die Erfassung mit Wireshark, nachdem die Ping-Tests beendet ist. Nutzen Sie den Wireshark-Filter, um nur ARP- und ICMP-Ausgaben anzuzeigen. In Wireshark geben Sie arp or icmp im Filter:-Eingabefeld ein.

e. Prüfen Sie die Erfassung mit Wireshark. In diesem Beispiel ist Frame 10 die erste ICMP-Anfrage, die von PC-A an S1 gesendet wurde. Da es keinen ARP-Eintrag für S1 gibt, wurde eine ARP-Anfrage an die Management-IP-Adresse von S1 gesendet mit der Frage nach der MAC-Adresse. Während der ARP-Vermittlungen erhielt die Echoanfrage keine Antwort, bevor die Anfrage das Zeitlimit überschritt. (Frame 8 – 12)

Nachdem der ARP-Eintrag für S1 zu dem ARP-Cache hinzugefügt wurde, waren die drei letzten ICMP-Vermittlungen erfolgreich, wie in Frame 26, 27 und 30 - 33 angezeigt.

Wie in der Erfassung von Wireshark angezeigt ist ARP ein hervorragendes Beispiel für einen Leistungskompromiss. Ohne Cache muss ARP Adressumsetzungen jedes Mal, wenn ein Frame auf das Netzwerk gesetzt wird, anfordern. Das führt zu Verzögerungen in der Kommunikation und könnte das LAN verstopfen.



Reflexion

1. Wie und wann werden statische ARP-Einträge gelöscht?

_______________________________________________________________________________________

2. Warum möchten Sie statische ARP-Einträge im Cache hinzufügen?

_______________________________________________________________________________________

3. Wenn ARP-Anfragen Netzwerkverzögerung verursachen können, warum ist es keine gute Idee, unbegrenzte Haltezeiten für ARP-Einträge zu haben?

_______________________________________________________________________________________

Übersichtstabelle Router-Schnittstellen

Übersicht der Router-Schnittstellen

Router-

Modell

Ethernet-

Schnittstelle #1

Ethernet-

Schnittstelle 2

Serielle

Schnittstelle #1

Serielle

Schnittstelle 2

1800 Fast Ethernet 0/0 (F0/0)

Fast Ethernet 0/1 (F0/1)

Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)

1900 Gigabit Ethernet 0/0 (G0/0)

Gigabit Ethernet 0/1 (G0/1)

Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)



Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)



Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)

2900 Gigabit Ethernet 0/0 (G0/0)

Gigabit Ethernet 0/1 (G0/1)

Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)

Hinweis: Um herauszufinden, wie der Router konfiguriert ist, schauen Sie auf die Schnittstellen, um den Routertyp zu bestimmen und wie viele Schnittstellen der Router hat. Es können jedoch nicht alle Konfigurationskombinationen für jede Router-Klasse aufgeführt werden. Diese Tabelle enthält Kennungen für die möglichen Kombinationen von Ethernet- und seriellen Schnittstellen im Gerät. Die Tabelle enthält keine anderen Schnittstellentypen, obwohl bestimmte Router diese umfassen können. Ein Beispiel dafür ist die Schnittstelle ISDN BRI. Die Zeichenfolge in Klammern ist die Abkürzung, die in einem IOS-Befehl zur Angabe der Schnittstelle verwendet werden kann.

Übung Beobachten von ARP mit Windows CLI, IOS CLI und ... Lab... · Dieses Dokument ist eine...

Documents

Transcript of Übung Beobachten von ARP mit Windows CLI, IOS CLI und ... Lab... · Dieses Dokument ist eine...