Proxy ARP

Le mandataire ARP connait le véritable emplacement de l'équipement qui possède cette adresse IP. Il répond aux requêtes ARP avec sa propre adresse MAC[2]. Les échanges IP ultérieurs lui seront donc envoyés et il se chargera de les communiquer à l'emplacement réel de l'équipement à qui ils étaient destinés. Pour cela, il utilise souvent une autre interface ou un tunnel réseau.

Exemple

Supposons qu'un hôte A cherche à joindre un hôte B qui se trouve sur un autre réseau local Ethernet adjacent au premier réseau. Supposons également que l'on place un mandataire ARP possédant deux cartes réseau à cheval entre les deux réseaux. Supposons enfin que les adresses réseau soient :

L'hôte A envoie une requête ARP demandant l'adresse MAC de B. Le mandataire ARP répond à la demande de A en indiquant que l'adresse IP de B 10.100.0.2 est associée à son adresse MAC 00:DE:AD:BE:EF:01. Quand A envoie un paquet IP à B, il l'envoie avec l'adresse MAC du mandataire, qui le transmet à B. B reçoit ce paquet et voit que l'adresse IP source est 10.200.0.1 et que l'adresse MAC source est 00:DE:AD:BE:EF:02 : il ajoute cette correspondance à sa table ARP. Le paquet retour passera donc lui aussi par le mandataire. Finalement, on a remplacé un routeur, et ni A ni B ne se doutent qu'ils ne sont pas sur le même réseau.

Joindre par une liaison point à point deux réseaux distants de façon transparente

Les deux réseaux distants peuvent être reliés par exemple par des modems ou par un tunnel chiffré.

D'habitude, dans ce genre de situations, on met en place des routeurs aux deux extrémités de la liaison point à point. Toutefois, si l'on remplace ces routeurs par des mandataires ARP, cela permet d'utiliser la même plage d'adresses (par exemple, 192.168.1.0/24) pour les machines locales aussi bien que pour les machines distantes, ce qui est impossible avec le routage.

Dans le cas particulier d'un tunnel, on construit ainsi un VPN complètement transparent (tous les utilisateurs croient être sur un même réseau local).

Remplacer temporairement un équipement défectueux

Le mandataire ARP va détourner les flux qui étaient normalement dirigés vers un serveur web, une imprimante ou n'importe quel autre équipement en panne vers un équipement de dépannage, sans qu'il soit nécessaire que l'équipement de remplacement soit dans le même réseau IP, ou que tous les postes clients ne soient reconfigurés.

Dans le cas particulier ou l'on remplace un routeur en panne, le routeur de dépannage peut avoir une adresse IP différente de celle du routeur en panne, bien que les deux soient (forcément) sur le même réseau IP. Le mandataire ARP évite de reconfigurer aussi bien l'adresse IP du routeur de dépannage que celle des clients lorsque l'on veut basculer. On construit ainsi une solutions de redondance des matériels. De fait, des solutions bien connues de redondance comme HSRP et VRRP utilisent une technique voisine, puisque les routeurs redondants adoptent une adresse ARP fictive commune.

Faire passer les flux réseau par un pare-feu ou un mandataire applicatif

On peut ainsi détourner les échanges avec, par exemple, un serveur Web pour les filtrer. Dans cette situation, il n'y a pas besoin de reconfigurer les clients. Le serveur sera sur un réseau différent ou sera reconfiguré avec une adresse IP différente.

Mobilité IP

Dans le cadre de la mobilité IP, l'agent personnel (Home Agent) peut devenir mandataire ARP pour recevoir les paquets destinés à la machine temporairement absente du réseau local et les transmettre à l'adresse « aux bons soins de » (Care-of address) de cette machine.

Migration d'un plan d'adressage

La mise en place d'un proxy-arp permettra d'éclater un réseau en plusieurs sous-réseaux. Lors de la modification complète des adresses IP et masques des sous-réseau des machines d'un réseau, un proxy-arp répondra aux machines dont les paramètres réseau correspondent à l'ancien adressage. Le proxy-arp pourra ensuite être désactivé à l'issue de la migration, quand toutes les machines auront rejoint leur nouveau plan d'adressage.

Un des avantages des mandataires ARP est la simplicité de la solution. On peut ainsi étendre un réseau sans devoir déclarer un routeur de sortie.

Parmi les désavantages du mandataire ARP, le principal est qu'il monte difficilement en charge, puisqu'il doit à la fois répondre aux requêtes ARP de toutes les machines concernées et transmettre tous les flux réseau.

Si un mandataire ARP fonctionne mal ou est mal configuré, il risque d'attirer à lui tous les flux réseau sans les transmettre aux bons destinataires, créant ainsi un trou noir (black hole) sur le réseau.

S'il tombe entre de mauvaises mains, un mandataire réseau permet d'écouter les échanges réseau et même de les trafiquer (mais c'est également le cas de n'importe quel autre équipement intermédiaire).

Un mandataire ARP a tendance à augmenter la quantité de trafic ARP transitant sur le segment réseau sur lequel il est mis en œuvre et de fait à augmenter la taille des tables ARP des machines présentes sur ce segment[3].