En la figura, dos redes comparten una sola dirección IP. Imagine que la etiquetada como Red Principal era la red original y segunda, etiquetada como Red Oculta, se agregó después. R, que es el ruteador que conecta las dos redes, sabe qué anfitriones residen en cada red física y utiliza ARP para mantener la ilusión de que solamente existe una red. Para dar esa apariencia, R mantiene totalmente oculta la localización de los anfitriones, permitiendo que las demás máquinas en la red se comuniquen como si estuvieran conectadas de manera directa. En nuestro ejemplo, cuando el anfitrión H1 necesita comunicarse con el anfitrión H4, primero llama a ARP para convertir la dirección IP de H4 en una dirección física. Una vez que tiene la dirección física, H1 puede enviarle directamente el datagrama.
Debido a que el ruteador R corre software proxy ARP, R captura la solicitud transmitida por difusión de Hi1 decide que la máquina en cuestión reside en la otra red física y responde la solicitud ARP enviando su propia dirección física. H1 recibe la respuesta ARP, instala la asociación en su tabla ARP y la utiliza para enviar a R los datagramas destinados a H4. Cuando R recibe un datagrama, busca en una tabla especial de ruteo para determinar cómo rutear el datagrama. R debe encaminar los datagramas destinados a H4 a través de la red oculta. a fin de permitir que los anfitriones en la red oculta alcancen anfitriones en la red principal, R también realiza el servicio de ARP sustituto (proxy ARP) en dicha red.
Los ruteadores que utilizan la técnica de ARP sustituto, tornan ventaja de una característica importante del protocolo ARP, a saber, la confianza. ARP está basado en la idea de que todas las máquinas cooperan y de que cualquier respuesta es legitima. La mayor parte de los anfitriones instalan asociaciones obtenidas por medio de ARP sin verificar su validez y sin mantener una consistencia. Por lo tanto, puede suceder que la tabla ARP asocie muchas direcciones IP en la misma dirección física, sin embargo, esto no viola las especificaciones del protocolo.
Algunas implantaciones de ARP no son tan poco exigentes como otras. En particular, las implementaciones ARP diseñadas para alertar a los administradores de posibles violaciones de seguridad les informarán siempre que dos direcciones IP distintas se transformen en la misma dirección física de hardware. El propósito de alertar al administrador es avisarle sobre el spoofing, situación en la que una máquina indica ser otra para poder interceptar paquetes. Las implantaciones de ARP en anfitriones que alertan a los administradores del posible spoofing no se pueden utilizar en redes que tienen ruteadores sustitutos ARP, ya que el software generarla mensajes con gran frecuencia.
La principal ventaja de ARP sustituto es que se puede agregar a un solo ruteador en una red sin alterar las tablas de ruteo en otros anfitriones o ruteadores en esa red. Por lo tanto, el software ARP sustituto (proxy ARP) oculta completamente los detalles de las conexiones físicas.
La principal desventaja de ARP sustituto es que no trabaja para las redes a menos que utilicen ARP para la definición de direcciones. Además, no se generaliza para topologías de red más complejas (por ejemplo, muchos ruteadores que interconectan dos redes físicas), ni incorpora una forma razonable para el ruteo. De hecho, la mayor parte de las implantaciones de ARP confía en los administradores para el mantenimiento manual de máquinas y direcciones, haciendo que se ocupe tiempo y se tenga propensión a los errores.
Figura: La técnica de APP sustituto (ARP hack) permite que una dirección de red se comparta entre dos redes físicas. El ruteador R contesta solicitudes ARP en cada red para los anfitriones en otra, proporcionando su dirección de hardware y ruteando datagramas de manera correcta en cuanto llegan. En esencia, R miente sobre las transformaciones de dirección IP a dirección física.
No hay comentarios:
Publicar un comentario