All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved.

. This document is Cisco Public Information. Page 1 sur 8

Travaux pratiques 9.8.1 : Protocole ARP (Address Resolution Protocol)
Schma de topologie

Table dadressage
Priphrique Interface Adresse IP
Masque de
sous-rseau
Passerelle par
dfaut
S0/0/0 10.10.10.6 255.255.255.252 S/O
R1-ISP
Fa0/0 192.168.254.253 255.255.255.0 S/O
S0/0/0 10.10.10.5 255.255.255.252 S/O
R2-Central
Fa0/0 172.16.255.254 255.255.0.0 S/O
S/O 192.168.254.254 255.255.255.0 192.168.254.253
Eagle Server
S/O 172.31.24.254 255.255.255.0 S/O
hostPod#A S/O 172.16.Pod#.1 255.255.0.0 172.16.255.254
hostPod#B S/O 172.16.Pod#.2 255.255.0.0 172.16.255.254
S1-Central S/O 172.16.254.1 255.255.0.0 172.16.255.254
CCNA Exploration
Notions de base sur les rseaux : Ethernet Travaux pratiques 9.8.1 : Protocole ARP (Address Resolution Protocol)


All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 2 sur 8
Objectifs pdagogiques
la fin de ce chapitre, vous saurez :
utiliser la commande arp de Windows ;
utiliser Wireshark pour examiner les changes de ARP.
Contexte
Le protocole ARP (Address Resolution Protocol) est utilis par TCP/IP pour mapper une adresse IP de
couche 3 une adresse MAC de couche 2. Lorsquune trame est place sur le rseau, elle doit possder
une adresse MAC de destination. Pour dtecter de faon dynamique ladresse MAC dun priphrique de
destination, une requte ARP est diffuse sur le rseau local. Le priphrique qui contient ladresse IP de
destination rpond. Ensuite, ladresse MAC est consigne dans le cache ARP. Chaque priphrique sur
le rseau local conserve son propre cache ARP, ou un petit espace dans la mmoire vive qui contient les
rsultats dARP. Un temporisateur de cache ARP supprime les entres correspondantes qui nont pas t
utilises pendant un certain temps. Les dlais diffrent selon le priphrique utilis. Par exemple, certains
systmes dexploitation Windows stockent les entres de cache ARP pendant 2 minutes. Si lentre est
de nouveau utilise au cours de ce dlai, le temporisateur ARP de cette entre est prolong de 10
minutes.
ARP constitue un parfait exemple de compromis de performances. Sans cache, ARP doit constamment
demander des traductions dadresses chaque placement dune trame sur le rseau. Ceci ajoute de la
latence la communication et peut encombrer le rseau local. Inversement, des temps dattente illimits
peuvent entraner des erreurs avec des priphriques qui quittent le rseau ou modifient ladresse de
couche 3.
Un ingnieur rseau doit tenir compte dARP, mais ne peut pas communiquer rgulirement avec ce
protocole. ARP est un protocole qui permet aux priphriques rseau de communiquer avec le protocole
TCP/IP. Sans ARP, aucune mthode nest efficace pour crer ladresse de destination de couche 2 du
datagramme. En outre, ARP reprsente un risque potentiel pour la scurit. Lusurpation ARP ou
lempoisonnement ARP est une technique utilise par un pirate informatique pour introduire lassociation
dadresses MAC incorrectes dans un rseau. Un pirate informatique usurpe ladresse MAC dun
priphrique, et les trames sont envoyes vers la destination incorrecte. La configuration manuelle
dassociations ARP statiques est un moyen dviter lusurpation ARP. En fin de compte, il est possible de
configurer une liste dadresses MAC autorises pour limiter laccs rseau aux seuls priphriques
approuvs.
Scnario
Avec un ordinateur hte pod, utilisez la commande de lutilitaire arp de Windows pour examiner et
modifier les entres du cache ARP.
Dans la tche 2, Wireshark permet de capturer et danalyser les changes ARP entre les priphriques
rseau. Si vous navez pas effectu le tlchargement de Wireshark sur lordinateur hte pod, utilisez
ladresse URL ftp://eagle-server.example.com/pub/eagle_labs/eagle1/chapter9/,
fichier wireshark-setup-0.99.4.exe.
CCNA Exploration
Notions de base sur les rseaux : Ethernet Travaux pratiques 9.8.1 : Protocole ARP (Address Resolution Protocol)


All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 3 sur 8
Tche 1 : utilisation de la commande arp de Windows.
tape 1 : accs au terminal de Windows.

C:\> arp
Affiche et modifie les tables de conversion dadresses IP en adresses
physiques utilises par le protocole ARP.
ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr]
-a Affiche les entres ARP actuelles en interrogeant les
donnes de protocole actuelles. Si inet_addr est spcifi,
seules les adresses IP et physique de lordinateur spcifi
saffichent. Si plusieurs interfaces rseau utilisent ARP,
les entres de chaque table ARP saffichent.
-g Identique -a.
inet_addr Spcifie une adresse Internet.
-N if_addr Affiche les entres ARP de linterface rseau spcifie par
if_addr.
-d Supprime lhte spcifi par inet_addr. inet_addr peut
sutiliser avec le caractre gnrique * pour supprimer
tous les htes.
-s Ajoute lhte et associe ladresse Internet inet_addr
ladresse physique eth_addr. Ladresse physique est
fournie sous forme de 6 octets hexadcimaux spars par des
traits dunion. Lentre est permanente.
eth_addr Spcifie une adresse physique.
if_addr Si prsent, spcifie ladresse Internet de linterface dont
la table de conversion des adresses doit tre modifie. Si
absent, la premire interface applicable est utilise.
Exemple :
> arp -s 157.55.85.212 00-aa-00-62-c6-09 .... Ajoute une entre
statique.
> arp -a .... Affiche la table arp.
C:\>
Figure 1. Syntaxe de la commande arp
1. Ouvrez une fentre de ligne de commande en cliquant sur Dmarrer > Excuter. Tapez cmd,
puis cliquez sur OK. Sans options, la commande arp affiche des informations daide utiles.
Reportez-vous la figure 1.
2. Excutez la commande arp sur lordinateur hte pod, et examinez les rsultats.
3. Rpondez aux questions suivantes sur la commande arp :
Quelle commande est utilise pour afficher toutes les entres dans le cache ARP ?
________________________________________
Quelle commande est utilise pour supprimer toutes les entres du cache ARP (vider le cache
ARP) ?
________________________________________
Quelle commande est utilise pour supprimer lentre du cache ARP pour 172.16.255.254 ?
________________________________________
CCNA Exploration
Notions de base sur les rseaux : Ethernet Travaux pratiques 9.8.1 : Protocole ARP (Address Resolution Protocol)


All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 4 sur 8
tape 2 : utilisation de la commande arp pour examiner le cache ARP local.

C:\> arp -a
Aucune entre ARP trouve
C:\>
Figure 2. Cache ARP vide
Sans communication rseau, le cache ARP doit tre vide. Ceci est illustr dans la figure 2.
Excutez la commande qui affiche les entres ARP. Quels sont les rsultats ?
____________________________________________________________________________________
____________________________________________________________________________________
tape 3 : utilisation de la commande ping pour ajouter de faon dynamique des entres dans le
cache ARP.
La commande ping sert tester la connectivit rseau. En accdant dautres priphriques, les
associations ARP sont ajoutes de faon dynamique au cache ARP.

C:\> ping 172.16.1.2
Envoi dune requte sur 172.16.1.2 avec 32 octets de
donnes :
Rponse de 172.16.1.2 : octets=32 temps<1 ms TTL=128
Rponse de 172.16.1.2 : octets=32 temps<1 ms TTL=128
Rponse de 172.16.1.2 : octets=32 temps<1 ms TTL=128
Rponse de 172.16.1.2 : octets=32 temps<1 ms TTL=128
Statistiques Ping pour 172.16.1.2 :
Paquets : Envoys = 4, Reus = 4, Perdus = 0 (perte
0%),
Dure approximative des boucles en millisecondes :
Minimum = 0 ms, Maximum = 0 ms, Moyenne = 0 ms
C:\>
Figure 3. Commande ping vers un ordinateur hte pod
1. Utilisez la commande ipconfig /all pour vrifier les donnes de la couche 2 et couche 3 de
lordinateur hte pod.
2. Excutez la commande ping vers un autre ordinateur hte, illustr la figure 3. La figure 4
illustre la nouvelle entre du cache ARP.

C:\> arp -a
Interface : 172.16.1.1 --- 0x60004
Adresse Internet Adresse physique Type
172.16.1.2 00-10-a4-7b-01-5f
dynamique
C:\>
Figure 4. Affichage du cache ARP
Comment lentre ARP a-t-elle t ajoute au cache ARP ? Conseil : consultez la colonne Type.
________________________________________
Quelle est ladresse physique de lordinateur hte pod de destination ?
________________________________________
CCNA Exploration
Notions de base sur les rseaux : Ethernet Travaux pratiques 9.8.1 : Protocole ARP (Address Resolution Protocol)


All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 5 sur 8
Quelle est ladresse physique de lordinateur hte pod de destination ?
Adresse IP Adresse physique Mode de dtection ?


3. Nenvoyez pas de trafic vers lordinateur auquel laccs a eu lieu auparavant. Attendez 2 3
minutes, et vrifiez nouveau le cache ARP. Lentre du cache ARP a-t-elle t efface ?
__________
4. Excutez la commande ping vers la passerelle, R2-Central. Examinez lentre du cache ARP.
Quelle est ladresse physique de la passerelle ? _____________________________________
Adresse IP Adresse physique Mode de dtection ?


5. Excutez la commande ping vers Eagle Server, eagle-server.example.com. Examinez lentre
du cache ARP. Quelle est ladresse physique dEagle Server ? ___________________________
_____________________________________________________________________________
_____________________________________________________________________________
tape 4 : modification manuelle des entres dans le cache ARP.
Pour supprimer des entres dans un cache ARP, excutez la commande arp d {inet-addr | *}.
Il est possible de supprimer les adresses individuellement en indiquant ladresse IP. Vous pouvez aussi
supprimer toutes les entres avec le caractre gnrique *.
Vrifiez que le cache ARP contient deux entres : une pour la passerelle et une pour lordinateur hte
pod de destination. Lexcution dune commande ping vers les deux priphriques plusieurs fois peut
savrer plus simple. Ce qui permet de conserver lentre du cache pendant environ 10 minutes.

C:\> arp a
Interface : 172.16.1.1 --- 0x60004
Adresse Internet Adresse physique Type
172.16.1.2 00-10-a4-7b-01-5f dynamique
172.16.255.254 00-0c-85-cf-66-40 dynamique
C:\>
C:\>arp -d 172.16.255.254
C:\> arp -a
Interface : 172.16.1.1 --- 0x60004
Adresse Internet Adresse physique Type
172.16.1.2 00-10-a4-7b-01-5f dynamique
C:\>
Figure 5. Suppression manuelle dune entre de cache ARP
Reportez-vous la figure 5, qui illustre la mthode de suppression manuelle dune entre de cache ARP.
1. Sur votre ordinateur, vrifiez dabord que les deux entres sont disponibles. Sinon, excutez une
requte ping vers lentre manquante.
2. Ensuite, supprimez lentre pour lordinateur hte pod.
3. Finalement, vrifiez vos modifications.
CCNA Exploration
Notions de base sur les rseaux : Ethernet Travaux pratiques 9.8.1 : Protocole ARP (Address Resolution Protocol)


All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 6 sur 8
4. Consignez les deux entres du cache ARP.
Priphrique Adresse IP Adresse physique Mode de dtection ?



5. Indiquez la commande qui permet de supprimer lentre pour lordinateur hte pod :
________________________________________

6. Excutez la commande sur lordinateur hte pod. Consignez lentre restante du cache ARP :
Priphrique Adresse IP Adresse physique Mode de dtection ?


7. Simulez la suppression de toutes les entres. Indiquez la commande qui permet de supprimer
toutes les entres dans le cache ARP : ________________________________________
8. Excutez la commande sur votre ordinateur hte pod, et examinez le cache ARP avec la
commande arp -a. Toutes les autres entres doivent tre supprimes.
________________________________________
9. Prenez par exemple un environnement scuris o la passerelle contrle laccs un serveur
Web qui contient des informations classes top secret . Quelle fonction de scurit, pouvant
aider neutraliser lusurpation ARP, peut tre applique des entres du cache ARP ?
________________________________________
10. Indiquez la commande qui ajoute une entre ARP statique au cache ARP pour la passerelle :
________________________________________
11. Examinez nouveau le cache ARP, et renseignez le tableau suivant :
Adresse IP Adresse physique Type


Pour la tche suivante, Wireshark est utilis pour capturer et examiner un change ARP. Ne fermez pas
le terminal Windows. Il sera utilis pour afficher le cache ARP.
Tche 2 : utilisation de Wireshark pour examiner les changes de ARP.
tape 1 : configuration de Wireshark pour les captures de paquets.
Prparez Wireshark pour les captures.
1. Cliquez sur Capture > Options.
2. Slectionnez linterface qui correspond au rseau local.
3. Cochez la case pour mettre jour la liste de paquets en temps rel.
4. Cliquez sur Dmarrer.
Ceci permet de commencer la capture des paquets.
CCNA Exploration
Notions de base sur les rseaux : Ethernet Travaux pratiques 9.8.1 : Protocole ARP (Address Resolution Protocol)


All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 7 sur 8
tape 2 : prparation de lordinateur hte pod aux captures ARP.
1. Si ce nest pas dj fait, ouvrez une fentre de terminal Windows en cliquant sur Dmarrer >
Excuter. Tapez cmd, puis cliquez sur OK.
2. Videz le cache ARP, afin quARP dtecte nouveau les mappages d'adresses. Indiquez la
commande que vous avez utilise : ________________________________________
tape 3 : capture et valuation de la communication ARP.
Dans cette tape, une requte ping est envoye la passerelle, et lautre Eagle Server. Ensuite, la
capture Wireshark est stoppe et la communication ARP value.
1. Envoyez une requte ping la passerelle, laide de la commande ping n 1
172.16.255.254..
2. Envoyez une requte ping Eagle Server, laide de la commande ping n 1
192.168.254.254.

Figure 6. Capture Wireshark dune communication ARP
3. Arrtez Wireshark et valuez la communication. Un cran Wireshark semblable celui illustr
la figure 6 doit safficher. La fentre Packet list de Wireshark affiche le nombre de paquets
capturs. La fentre Packet Details affiche le contenu du protocole ARP.
4. laide de votre capture Wireshark, rpondez aux questions suivantes :
Quel tait le premier paquet ARP ? ________________________________________
Quel tait le deuxime paquet ARP ? ________________________________________
Renseignez le tableau suivant avec les informations issues du premier paquet ARP :
Champ Valeur
Adresse MAC de lexpditeur
Adresse IP de lexpditeur
Adresse MAC cible
Adresse IP cible
CCNA Exploration
Notions de base sur les rseaux : Ethernet Travaux pratiques 9.8.1 : Protocole ARP (Address Resolution Protocol)


All contents are Copyright 19922009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 8 sur 8
Renseignez le tableau suivant avec les informations issues du deuxime paquet ARP :
Champ Valeur
Adresse MAC de lexpditeur
Adresse IP de lexpditeur
Adresse MAC cible
Adresse IP cible

Si la trame Ethernet II pour une requte ARP est une diffusion, pourquoi ladresse MAC cible ne
contient que des 0 ? ____________________________________________________________
Pourquoi ny avait-t-il pas de requte ARP pour la commande ping envoye Eagle Server ?
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________

Combien de temps le mappage de la passerelle doit-il tre stock dans le cache ARP de
lordinateur hte pod ? Pourquoi ?
_____________________________________________________________________________
_____________________________________________________________________________
Tche 3 : remarques gnrales
Le protocole ARP mappe les adresses IP de couche 3 aux adresses MAC de couche 2. Si un paquet doit
parcourir des rseaux, ladresse MAC de couche 2 change avec chaque saut sur un routeur. Cependant,
ladresse de couche 3 reste la mme.
Le cache ARP stocke les mappages dadresses dARP. Si lentre a t tudie de faon dynamique, elle
est supprime du cache. Si elle a t manuellement insre dans le cache ARP, il sagit dune entre
statique. Ainsi, elle reste disponible jusqu la mise hors tension de lordinateur ou le vidage manuel du
cache ARP.
Tche 4 : confirmation
laide des ressources externes, effectuez une recherche sur lusurpation ARP. Abordez les diffrentes
techniques pour neutraliser ce type dattaque.
La majorit des routeurs sans fil prennent en charge laccs au rseau sans fil. laide de cette
technique, les adresses MAC qui disposent de laccs au rseau sans fil sont ajoutes manuellement au
routeur sans fil. laide des ressources externes, abordez les avantages de la configuration de laccs au
rseau sans fil. Discutez des moyens dont disposent les pirates informatiques pour contourner cette
scurit.
Tche 5 : nettoyage
Wireshark a t install sur lordinateur hte pod. Si Wireshark doit tre dsinstall, cliquez sur Dmarrer
> Panneau de configuration. Ouvrez Ajout/Suppression de programmes. Slectionnez Wireshark,
puis cliquez sur Supprimer.
Supprimez tout fichier cr sur lordinateur hte pod au cours des travaux pratiques.
Sauf indication contraire du formateur, mettez les ordinateurs htes hors tension. Enlevez le matriel
utilis durant les travaux pratiques, et prparez la salle pour le cours suivant.