Laboratório - Observação do ARP com o Windows CLI, IOS CLI

e o Wireshark
Topologia

Tabela de Endereçamento

Máscara de
Dispositivo Interface Endereço IP Sub-Rede Gateway Padrão

R1 G0/1 192.168.1.1 255.255.255.0 ND

S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1
S2 VLAN 1 192.168.1.12 255.255.255.0 192.168.1.1
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1
PC-B NIC 192.168.1.2 255.255.255.0 192.168.1.1

Objetivos
Parte 1: Criar e configurar a rede
Parte 2: Usar o comando ARP do Windows
Parte 3: Usar o comando show ARP do IOS
Parte 4: Usar o Wireshark para examinar alterações do ARP.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 11
Laboratório - Observação do ARP com o Windows CLI, IOS CLI e o Wireshark

Histórico/cenário
O Protocolo de Resolução de Endereços (ARP) é usado pelo TCP/IP para mapear um endereço IP da
Camada 3 para um endereço MAC da Camada 2. Quando um quadro é posicionado na rede, ele deve ter um
endereço MAC destino. Para descobrir dinamicamente o endereço MAC do dispositivo destino, uma
solicitação ARP é enviada em broadcast na LAN. O dispositivo que contém o endereço IP destino responde,
e o endereço MAC é gravado na cache ARP. Todo dispositivo na LAN mantem sua cache ARP própria, ou
uma pequena área na RAM que armazena resultados ARP. Um temporizador da cache ARP remove
entradas ARP que não foram usadas por um certo período.
O ARP é um excelente exemplo de decisão de desempenho. Sem cache, o ARP deve solicitar
continuamente traduções de endereço cada vez que um quadro é colocado na rede. Isso acrescenta latência
à comunicação e pode congestionar a LAN. Inversamente, tempos de espera ilimitados poderiam causar
erros em dispositivos que foram removidos da rede ou sofreram alteração no endereço da Camada 3.
Um administrador de rede precisa estar atento ao ARP, mas pode não interagir com o protocolo
regularmente. O ARP é um protocolo que permite que dispositivos de rede se comuniquem com o protocolo
TCP/IP. Sem ARP, não há método eficiente para construir o datagrama do endereço destino da Camada 2.
Além disso, o ARP é um risco potencial à segurança. A falsificação ARP (ARP spoofing), ou envenenamento
ARP (ARP poisoning), é uma técnica usada por um atacante para inserir a associação de endereço MAC
errado em uma rede. Um atacante falsifica o endereço MAC de um dispositivo, e quadros são enviados ao
destino errado. A configuração manual estática de associações MAC é uma forma de prevenir falsificação
ARP. Por fim, uma lista de endereço MAC autorizada pode ser configurada em dispositivos Cisco para
restringir o acesso à rede apenas para dispositivos autorizados.
Neste laboratório, você usará os comandos ARP no Windows e nos roteadores da Cisco para exibir a tabela
ARP. Você também limpará o cache ARP e adicionará entradas ARP estáticas.
Observação: Os roteadores usados com laboratórios práticos CCNA são Roteadores de Serviços Integrados
(ISRs) Cisco 1941 com a versão 15.2(4) M3 do IOS Cisco (imagem universalk9). Os switches usados são
Cisco Catalyst 2960s com a versão 15.0(2) (imagem lanbasek9) do IOS Cisco. Outros roteadores, switches
e versões do IOS Cisco podem ser usados. Dependendo do modelo e da versão do IOS Cisco, os comandos
disponíveis e a saída produzida podem diferir do que consta nos laboratórios. Consulte a tabela Resumo da
Interface do Roteador no final deste laboratório para obter os identificadores de interface corretos.
Observação: Certifique-se de que os roteadores e switches tenham sido apagados e que não haja
configurações iniciais. Se estiver em dúvida, entre em contato com seu instrutor.

Recursos necessários
• 1 roteador (Cisco 1941 com a versão 15.2(4)M3 do IOS Cisco, imagem universal ou semelhante)
• 2 Switches (Cisco 2960 com a versão 15.0(2) do IOS Cisco, imagem lanbasek9 ou semelhante)
• 2 Pcs (Windows 7, Vista ou XP com o programa de emulação de terminal, tal como o Tera Term
e o Wireshark instalado)
• Cabos de console para configurar os dispositivos IOS Cisco através das portas de console
• Cabos ethernet conforme mostrado na topologia
Observação: As interfaces Fast Ethernet em switches Cisco 2960 possuem detecção automática e um cabo
direto Ethernet pode ser usado entre os switches S1 e S2. Se estiver usando um outro modelo de switch da
Cisco, pode ser necessário usar um cabo cruzado Ethernet.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 2 de 11
Laboratório - Observação do ARP com o Windows CLI, IOS CLI e o Wireshark

Parte 1: Crie e configure a rede

Etapa 1: Instale os cabos da rede de acordo com a topologia.

Etapa 2: Configure os endereços IP para os dispositivos de acordo com a Tabela de Endereçamento.

Etapa 3: Verifique a conectividade de rede efetuando ping em todos os dispositivos do PC-B.

Parte 2: Use o Comando ARP do Windows

O comando arp permite que o usuário veja e modifique o cache ARP no Windows. Você acessa esse
comando no prompt de comando do Windows.

Etapa 1: Exiba o cache ARP.

a. Abra uma janela de comando no PC-A e digite arp.
C:\Users\User1> arp

Displays and modifies the IP-to-Physical address translation tables used by

address resolution protocol (ARP).

ARP -s inet_addr eth_addr [if_addr]

ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr] [-v]

-a Displays current ARP entries by interrogating the current

protocol data. If inet_addr is specified, the IP and Physical
addresses for only the specified computer are displayed. If
more than one network interface uses ARP, entries for each ARP
table are displayed.
-g Same as -a.
-v Displays current ARP entries in verbose mode. All invalid
entries and entries on the loop-back interface will be shown.
inet_addr Specifies an internet address.
-N if_addr Displays the ARP entries for the network interface specified
by if_addr.
-d Deletes the host specified by inet_addr. inet_addr may be
wildcarded with * to delete all hosts.
-s Adds the host and associates the Internet address inet_addr
with the Physical address eth_addr. The Physical address is
given as 6 hexadecimal bytes separated by hyphens. The entry
is permanent.
eth_addr Specifies a physical address.
if_addr If present, this specifies the Internet address of the
interface whose address translation table should be modified.
If not present, the first applicable interface will be used.
Example:
> arp -s 157.55.85.212 00-aa-00-62-c6-09 .... Adds a static entry.
> arp -a .... Displays the arp table.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 3 de 11
Laboratório - Observação do ARP com o Windows CLI, IOS CLI e o Wireshark

b. Examine a saída.
Qual comando seria usado para mostrar todas as entradas no cache ARP? _______________________
Qual comando seria usado para apagar todas as entradas da cache ARP (limpar a memória da cache ARP)?
____________________________________________________________________________________
Qual comando seria usado para apagar a entrada do cache ARP para 192.168.1.11?
____________________________________________________________________________________
c. Digite arp – a para exibir a tabela ARP.
C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type
192.168.1.1 d4-8c-b5-ce-a0-c1 dynamic
192.168.1.255 ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
Observação: a tabela ARP ficará vazia se você utilizar o Windows XP (conforme indicado abaixo).
C:\Documents and Settings\User1> arp -a
Nenhuma Entrada ARP Encontrada.
d. Efetue ping do PC-A para o PC-B para adicionar entradas no cache ARP dinamicamente.
C:\Documents and Settings\User1> ping 192.168.1.2

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type
192.168.1.2 00-50-56-be-f6-db dynamic
Qual é o endereço físico para o host com endereço IP de 192.168.1.2? ___________________________

Etapa 2: Ajuste manualmente as entradas no cache ARP.

Para apagar as entradas no cache ARP, emita o comando arp –d {inet-addr | *}. Os endereços podem ser
apagados individualmente ao especificar o endereço IP, ou todas as entradas podem ser apagadas com
a opção * .
Verifique se o cache ARP contém as seguintes entradas: o gateway padrão de G0/1 R1 (192.168.1.1), PC-B
(192.168.1.2) e ambos os switches (192.168.1.11 e 192.168.1.12).
a. No PC-A, efetue ping em todos os endereços na tabela de endereços.
b. Verifique se todos os endereços foram adicionados no cache ARP. Se o endereço não estiver no cache
ARP, efetue ping no endereço destino e verifique se o endereço foi adicionado no cache ARP.
C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type
192.168.1.1 d4-8c-b5-ce-a0-c1 dynamic
192.168.1.2 00-50-56-be-f6-db dynamic
192.168.1.11 0c-d9-96-e8-8a-40 dynamic
192.168.1.12 0c-d9-96-d2-40-40 dynamic

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 4 de 11
Laboratório - Observação do ARP com o Windows CLI, IOS CLI e o Wireshark

192.168.1.255 ff-ff-ff-ff-ff-ff static

224.0.0.22 01-00-5e-00-00-16 static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
c. Como administrador, acesse o prompt de comando. Clique no ícone Iniciar e, na caixa Pesquisar
programas e arquivos, digite cmd. Quando o ícone cmd for exibido, clique com o botão direito do mouse
no ícone e selecione Executar como administrador. Clique em Sim para permitir que esse programa
faça alterações.
Observação: para usuários do Windows XP, não é necessário ter privilégios de administrador para
alterar as entradas do cache ARP.

d. Na janela do prompt de comando de administrador, digite arp –d *. Esse comando exclui todas as
entradas do cache ARP. Verifique se todas as entradas do cache ARP foram excluídas digitando arp –a
no prompt de comando.
C:\windows\system32> arp –d *
C:\windows\system32> arp –a
No ARP Entries Found.
e. Aguarde alguns minutos. O protocolo Neighbor Discovery é iniciado para preencher o cache ARP
novamente.
C:\Users\User1> arp –a

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 5 de 11
Laboratório - Observação do ARP com o Windows CLI, IOS CLI e o Wireshark

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type
192.168.1.255 ff-ff-ff-ff-ff-ff static
Observação: o protocolo Neighbor Discovery não é executado no Windows XP.
f. No PC-A, efetue ping no PC-B (192.168.1.2) e nos switches (192.168.1.11 e 192.168.1.12) para
adicionar entradas ARP. Verifique se as entradas ARP foram adicionadas ao cache.
C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type
192.168.1.2 00-50-56-be-f6-db dynamic
192.168.1.11 0c-d9-96-e8-8a-40 dynamic
192.168.1.12 0c-d9-96-d2-40-40 dynamic
192.168.1.255 ff-ff-ff-ff-ff-ff static
g. Anote o endereço físico do switch S2. _____________________________________________________
h. Exclua uma entrada do cache ARP específica digitando arp –d inet-addr. No prompt de comando, digite
arp -d 192.168.1.12 para excluir a entrada ARP para S2.
C:\windows\system32> arp –d 192.168.1.12
i. Digite arp –a para verificar se a entrada ARP para S2 foi removida do cache ARP.
C:\Users\User1> arp –a

Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type
192.168.1.2 00-50-56-be-f6-db dynamic
192.168.1.11 0c-d9-96-e8-8a-40 dynamic
192.168.1.255 ff-ff-ff-ff-ff-ff static
j. Você pode adicionar uma entrada do cache ARP digitando arp –s inet_addr mac_addr. O endereço IP
e o endereço MAC para S2 serão usados neste exemplo. Use o endereço MAC gravado na etapa G.
C:\windows\system32> arp –s 192.168.1.12 0c-d9-96-d2-40-40
k. Verifique se a entrada ARP para S2foi adicionada ao cache.

Parte 3: Use o comando show arp do IOS

O IOS Cisco também pode exibir o cache ARP em roteadores e switches com o comando show arp ou
show ip arp.

Etapa 1: Exiba as entradas ARP no roteador R1.

R1# show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 - d48c.b5ce.a0c1 ARPA GigabitEthernet0/1
Internet 192.168.1.2 0 0050.56be.f6db ARPA GigabitEthernet0/1
Internet 192.168.1.3 0 0050.56be.768c ARPA GigabitEthernet0/1
R1#

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 6 de 11
Laboratório - Observação do ARP com o Windows CLI, IOS CLI e o Wireshark

Observe que não há Tempo de existência (-) para a primeira entrada, a interface G0/1 do roteador
(o gateway padrão de LAN). O Tempo de existência é o número de minutos (mínimo) em que entrada
ficou no cache ARP e é incrementado para outras entradas. O protocolo Neighbor Discovery preenche
as entradas ARP do endereço IP e MAC do PC-A e PC-B.

Etapa 2: Adicione entradas ARP no roteador R1.

Você pode adicionar entradas ARP à tabela ARP do roteador efetuando ping em outros dispositivos.
a. Efetue ping no switch S1.
R1# ping 192.168.1.11
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.11, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
b. Verifique se uma entrada ARP para o switch S1 foi adicionada à tabela ARP de R1.
R1# show ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 - d48c.b5ce.a0c1 ARPA GigabitEthernet0/1
Internet 192.168.1.2 6 0050.56be.f6db ARPA GigabitEthernet0/1
Internet 192.168.1.3 6 0050.56be.768c ARPA GigabitEthernet0/1
Internet 192.168.1.11 0 0cd9.96e8.8a40 ARPA GigabitEthernet0/1
R1#

Etapa 3: Exiba as entradas ARP no switch S1.

S1# show ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 46 d48c.b5ce.a0c1 ARPA Vlan1
Internet 192.168.1.2 8 0050.56be.f6db ARPA Vlan1
Internet 192.168.1.3 8 0050.56be.768c ARPA Vlan1
Internet 192.168.1.11 - 0cd9.96e8.8a40 ARPA Vlan1
S1#

Etapa 4: Adicione as entradas ARP no switch S1.

Ao efetuar ping em outros dispositivos, as entradas ARP também podem ser adicionadas à tabela ARP do switch.
a. No switch S1, efetue ping no switch S2.
S1# ping 192.168.1.12
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.12, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/8 ms
b. Verifique se uma entrada ARP para o switch S2 foi adicionada à tabela ARP de S1.
S1# show ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 5 d48c.b5ce.a0c1 ARPA Vlan1
Internet 192.168.1.2 11 0050.56be.f6db ARPA Vlan1
Internet 192.168.1.3 11 0050.56be.768c ARPA Vlan1
Internet 192.168.1.11 - 0cd9.96e8.8a40 ARPA Vlan1

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 7 de 11
Laboratório - Observação do ARP com o Windows CLI, IOS CLI e o Wireshark

Internet 192.168.1.12 2 0cd9.96d2.4040 ARPA Vlan1

S1#

Parte 4: Use o Wireshark para examinar alterações do ARP

Na parte 4, você examinará as alterações do ARP usando o Wireshark para capturar e avaliar a alteração do
ARP. Você também examinará a latência de rede causada por alterações do ARP entre dispositivos.

Etapa 1: Configure o Wireshark para capturas de pacote.

a. Inicie o Wireshark.
b. Selecione a interface de rede para usar para capturar as alterações do ARP.

Etapa 2: Capture e avalie a comunicação do ARP.

a. Inicie a captura de pacotes no Wireshark. Use o filtro para exibir somente pacotes ARP.
b. Limpe o cache ARP digitando o comando arp –d * no prompt de comando.
c. Verifique se o cache ARP foi apagado.
d. Envie um ping para o gateway padrão, usando o comando 192.168.1.1.
e. Pare a captura do Wireshark após concluir a execução de ping no gateway padrão.
f. Examine as capturas do Wireshark para as alterações do ARP no painel de detalhes do pacote.
Qual foi o primeiro pacote ARP? ___________________________

Preencha a seguinte tabela com informações sobre o primeiro pacote ARP capturado:

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 8 de 11
Laboratório - Observação do ARP com o Windows CLI, IOS CLI e o Wireshark

Campo Valor

Endereço MAC do Emissor

Endereço IP do Emissor
Endereço MAC Destino
Endereço IP Destino

Qual foi o segundo pacote ARP? ______________________________

Preencha a seguinte tabela com informações sobre o segundo pacote ARP capturado:

Campo Valor

Endereço MAC do Emissor

Endereço IP do Emissor
Endereço MAC Destino
Endereço IP Destino

Etapa 3: Examine a latência da rede causada pelo ARP.

a. Limpe as entradas ARP no PC-A.
b. Inicie uma captura do Wireshark.
c. Efetue ping no switch S2 (192.168.1.12). O ping deve ser bem-sucedido após a primeira solicitação de
echo.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 9 de 11
Laboratório - Observação do ARP com o Windows CLI, IOS CLI e o Wireshark

Observação: se todos os pings tiverem êxito, o S1 precisa ser reinicializado para observar a latência de
rede com o ARP.
C:\Users\User1> ping 192.168.1.12
Request timed out.
Reply from 192.168.1.12: bytes=32 time=2ms TTL=255
Reply from 192.168.1.12: bytes=32 time=2ms TTL=255
Reply from 192.168.1.12: bytes=32 time=2ms TTL=255

Ping statistics for 192.168.1.12:

Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 3ms, Average = 2ms
d. Pare a captura do Wireshark após a conclusão da execução de ping. Use um filtro do Wireshark para
exibir somente as saídas ARP e ICMP. No Wireshark, digite arp or icmp no Filter (Filtro).
e. Examine a captura do Wireshark. Neste exemplo, o quadro 10 é a primeira solicitação ICMP enviada
pelo PC-A para o S1. Como não há uma entrada ARP para S1, uma solicitação ARP foi enviada para
o endereço IP de gerenciamento de S1 solicitando o endereço MAC. Durante as alterações do ARP,
a echo request não recebeu uma resposta antes da solicitação expirar. (quadros 8 – 12)
Após a entrada ARP para S1 ter sido adicionada no cache ARP, as últimas três alterações do ICMP
tiveram êxito, conforme mostrado nos quadros 26, 27 e 30 – 33.
Como mostrado na captura do Wireshark, o ARP é um excelente exemplo de desempenho de decisão.
Sem cache, o ARP deve solicitar continuamente traduções de endereço cada vez que um quadro
é colocado na rede. Isso acrescenta latência à comunicação e pode congestionar a LAN.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 10 de 11
Laboratório - Observação do ARP com o Windows CLI, IOS CLI e o Wireshark

Reflexão
1. Como e quando as entradas ARP estáticas são removidas?
_______________________________________________________________________________________
2. Por que deseja adicionar entradas ARP estáticas no cache?
_______________________________________________________________________________________
3. Se as solicitações ARP podem causar latência da rede, por que seria uma má ideia ter tempos de espera
ilimitados para entradas ARP?
_______________________________________________________________________________________

Tabela Resumo da Interface do Roteador

Resumo da Interface do Roteador

Modelo do Interface Ethernet Nº 1 Interface Ethernet Nº 2 Interface Serial Nº 1 Serial Interface Nº 2

Roteador

1800 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
2811 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Observação: Para descobrir como o roteador está configurado, analise as interfaces para identificar o tipo de
roteador e quantas interfaces ele possui. Não há como listar com eficácia todas as combinações de
configurações para cada classe de roteador. Esta tabela inclui identificadores para as possíveis combinações de
interfaces seriais e Ethernet no dispositivo. Essa tabela não inclui nenhum outro tipo de interface, embora um
roteador específico possa conter algum. Um exemplo disso poderia ser uma interface ISDN BRI. A sequência
entre parênteses é a abreviatura válida que pode ser usada nos comandos IOS Cisco para representar
a interface.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 11 de 11