Вникаем: transparent mode (из перевода статьи про ARP-трафик)

При переводе встретилась такая фраза:

ARP traffic can cause problems, especially in transparent mode where ARP packets arriving on one interface are sent to all other interfaces including VLAN subinterfaces. Some layer-2 switches become unstable when they detect the same MAC address originating on more than one switch interface or from more than one VLAN.

Будем разбираться, что такое ARP трафик и при чем здесь transparent mode.

Как работает ARP

В компьютерных сетях есть два наиболее известных вида адресации:

• по MAC-адресам — это зашитые в сетевые карты адреса, они устанавливаются заводом-производителем и их сложно поменять;
• по IP-адресам — это адреса, которые этим же сетевым картам присваивают администраторы, и они могут меняться постоянно.

За тем, какой MAC-адрес какому IP-адресу соответствует, следит коммутатор. Если какой-то компьютер не из нашей сети хочет передать данные на компьютер в нашей сети, он обращается к коммутатору с просьбой «Сообщи, какому из компьютеров в твоей сети принадлежит такой-то IP-адрес».

Коммутатор смотрит список своих жильцов-компьютеров — таблицу MAC-адресов — и говорит: «Вот по этому IP-адресу живет компьютер с таким MAC-адресом». Но так происходит не всегда. Иногда запрошенного компьютера в списке адресов нет, тогда коммутатор кидает клич по сети и рассылает один и тот же запрос по всем контактам, до которых может дотянуться (в т.ч. и другим коммутаторам): «Мне пришел запрос на посылку для компьютера с таким-то IP-адресом. У кого такой?»

Откликается только тот компьютер, у которого есть такой адрес. Когда коммутатор получает пакет с этим ответом, он отсылает ответ тому, кто спрашивал, и тут же записывает этот адрес к себе в списочек с MAC-адресами. Само выяснение этого адреса называется обработкой ARP-запроса (ARP —  Address Resolution Protocol).

Прозрачный режим

Нашу сеть могут использовать злоумышленники и передавать небезопасную информацию. Избежать этого поможет защитное устройство (например, межсетевой экран), отслеживающее трафик. А с прозрачным режимом (transparent mode) активность защитного устройства будет незаметна для пользователей.

На схеме ниже (Рис. 2): рабочая станция (workstation), сервер (server), коммутатор (switch), маршрутизатор (router). Они общаются по уже известной схеме: у коммутатора в таблице MAC-адреса всех устройств, зная которые он передает пакеты.

Рис. 2. Схема работы ARP без межсетевого экрана

Добавляем защитное устройство (межсетевой экран = firewall), работающее в прозрачном режиме, и картина меняется (см. Рис. 3).

Межсетевой экран не трогает IP-адреса, но подменяет MAC-адреса устройств на собственный. Так он может принимать входящие пакеты, проверять и решать, передавать ли их на устройства сети. 

Проблемы возникнут, когда маршрутизатор запросит адреса сервера и рабочей станции. Мы помним, что коммутатор работает с MAC-адресами, а сетевой экран в прозрачном режиме заменяет исходный MAC-адрес на собственный. В итоге в табличке маршрутизатора серверу и станции принадлежат разные IP-адреса и одинаковый MAC-адрес – при запросах на оба устройства маршрутизатор получит MAC-адрес сетевого экрана.

Рис. 3. Схема работы ARP с межсетевым экраном
Источник: SonicWall

Полученный вывод подтверждает и следующее предложение оригинала:

Some layer-2 switches become unstable when they detect the same MAC address originating on more than one switch interface or from more than one VLAN.

Заключение

Вернемся к исходному предложению:

ARP traffic can cause problems, especially in transparent mode where ARP packets arriving on one interface are sent to all other interfaces including VLAN subinterfaces.

Мы выяснили, что проблемы возникают, если в сети есть устройство, работающее в прозрачном режиме. Теперь логика текста выстраивается:

Трафик ARP может создать проблемы, особенно если в сети есть устройство, которое работает в прозрачном режиме, т.к. пакеты ARP, поступающие на один интерфейс, отправляются на все другие интерфейсы, включая логические подинтерфейсы VLAN.

Статью подготовила: Бедретдинова Диана

Источник: Видео-разбор перевода текста про ARP-протокол