7.ARP 代理与端口隔离：满足通信需求，保证通信安全

所谓ARP代理就是网络设备代替目标设备回应 ARP 请求 将自身 MAC 地址提供给请求方以此满足了不同子网、VLAN 内及 VLAN 间设备的通信需求在不同网络区域间搭建起通信桥梁。同时它通过隐藏内部网络结构、限制广播域范围隔离了非法访问与潜在威胁满足了网络通信的安全性需求确保数据传输稳定可靠。有三种主要的 ARP 代理方式。一、路由式 Proxy ARP场景路由式 Proxy ARP 核心作用是让 “同一网段但分属不同物理广播域” 的设备实现通信尤其适用于主机未配置网关的场景。它让路由器充当 “通信代理”打通跨广播域的同网段设备连接。1.前提IP 网段两台主机的 IP 属于同一网段如 Host_1172.16.1.10/16、Host_2172.16.2.20/16网络隔离两台主机处于不同物理广播域如被路由器的 VLAN10、VLAN20 分隔无法直接收发 ARP 广播主机配置主机未配置网关无法主动将数据发往路由器。2.无代理时的通信困境当 Host_1 要与 Host_2 通信时因 IP 同网段会广播 ARP 请求 Host_2 的 MAC 地址但广播被域隔离限制Host_2 收不到请求无法应答通信中断。3.路由式 Proxy ARP 的工作流程在路由器上该功能后配置命令vlanif接口下 arp-proxy enable接收请求路由器收到 Host_1 的 ARP 广播请求路由校验查询路由表确认 Host_2 是直连设备存在对应路由表项代答 ARP路由器用自身连接 Host_1 所在 VLAN 的接口 MAC如 VLANIF10 的 0025-9e01-0003代替 Host_2 向 Host_1 发送 ARP 应答建立映射Host_1 的 ARP 表中Host_2 的 IP 对应的 MAC 被替换为路由器接口 MAC转发数据Host_1 后续发往 Host_2 的数据会先发给路由器再由路由器转发给 Host_2此时路由器充当 Host_2 的通信代理。二、VLAN内Proxy ARP场景VLAN 内 Proxy ARP 是一种用于同一 VLAN 内、但被端口隔离的设备间三层通信的技术 —— 它让路由器在 VLAN 内部充当代理打通被隔离端口间的连接。1.前提网络环境两台主机如 Host_1、Host_2属于同一 VLAN如 VLAN10但在路由器上配置了端口隔离二层无法直接互通通信需求被隔离的主机需要实现三层互通但无法通过二层广播直接获取对方 MAC。2.无代理时的通信困境因 VLAN 内端口隔离Host_1 广播 ARP 请求 Host_2 的 MAC 时报文会被隔离策略拦截Host_2 收不到请求无法建立二层连接三层通信中断。3.VLAN 内 Proxy ARP 的工作流程在路由器的 VLAN 接口上启用该功能后配置命令vlanif接口下 arp-proxy inner-sub-vlan-proxy enable接收请求路由器收到 Host_1 的 ARP 请求目的不是自身不直接丢弃查找表项查询自身 ARP 表确认存在 Host_2 的表项代答 ARP路由器用自身接口的 MAC 地址代替 Host_2 向 Host_1 发送 ARP 应答转发数据Host_1 将数据发往路由器由路由器代为转发给 Host_2—— 此时路由器充当 Host_2 的代理。VLAN 内 Proxy ARP 通过路由器代答 ARP 请求让同一 VLAN 内被端口隔离的设备借助路由器实现三层互通。三、VLAN间Proxy ARP场景VLAN 间 Proxy ARP 是专门解决“IP 同网段、但分属不同 VLAN” 的设备间三层通信问题—— 通过路由器代答 ARP 请求打通不同 VLAN 间同网段主机的连接。1.前提IP 网段两台主机如 Host_1172.16.2.20/24、Host_2172.16.2.30/24属于同一网段VLAN 隔离两台主机分属不同 VLAN如 Sub-VLAN10、Sub-VLAN20二层无法直接互通设备条件路由器通过 Super-VLAN如 VLAN30关联这些 Sub-VLAN提供三层接口如 VLANIF30。2.无代理时的通信困境因 Host_1 和 Host_2 分属不同 VLANHost_1 广播 ARP 请求 Host_2 的 MAC 时报文被 VLAN 隔离策略拦截Host_2 收不到请求三层通信无法建立。3.VLAN 间 Proxy ARP 的工作流程在路由器的关联接口如 VLANIF30上启用功能后配置命令vlanif接口下 arp-proxy inner-sub-vlan-proxy enable接收请求路由器收到 Host_1 的 ARP 请求目的不是自身不直接丢弃查找表项查询自身 ARP 表确认存在 Host_2 的表项动态学习或静态配置代答 ARP路由器用自身接口的 MAC如 VLANIF30 的 0025-9e01-0003代替 Host_2 向 Host_1 发送 ARP 应答转发数据Host_1 将数据发往路由器由路由器代为转发给 Host_2—— 此时路由器充当 Host_2 的通信代理。VLAN 间 Proxy ARP 通过路由器代答 ARP 请求让同网段但跨 VLAN 的主机借助路由器实现三层互通。四、端口隔离端口隔离是一种二层网络安全技术用于同一 VLAN 内的端口之间限制其二层通信—— 让同一 VLAN 下的不同端口对应不同主机无法直接通过二层广播、组播或单播报文互通仅能通过三层设备转发实现通信以此提升 VLAN 内部的网络安全性与隔离性。使用场景企业办公网络同一部门同 VLAN的员工主机限制彼此二层访问避免非授权文件共享、广播干扰。酒店 / 校园网络同一 VLAN 下的客房 / 宿舍终端隔离二层通信防止终端间非法访问、减少广播风暴。公共 Wi-Fi 网络同一 SSID映射同 VLAN的用户终端隔离二层互通保障用户数据隐私。配置端口下加入到某个VLAN然后关键命令是port-isolate enable. 缺省加入端口隔离组1且隔离模式为二层隔离三层互通。不同隔离组的作用假设交换机的 VLAN10 下有 4 个端口G0/0/1~G0/0/4把 G0/0/1、G0/0/2 加入隔离组 1 → 这两个端口彼此隔离把 G0/0/3、G0/0/4 加入隔离组 2 → 这两个端口彼此隔离隔离组 1 和隔离组 2 的端口如 G0/0/1 与 G0/0/3默认可以二层互通。这样就能在同一 VLAN 内按需将端口分成多组隔离既满足部分设备的隔离需求又保留不同组间的通信权限。