ARP
ARP-Tabelleneinträge (Static Address Resolution Protocol) werden standardmäßig verwendet, wenn sich die Zieladresse des ARP im lokalen Netzwerk befindet. Diese statischen ARP-Adressen können für Ethernet- oder Gigabit-Ethernet-Schnittstellen konfiguriert werden. In den folgenden Themen wird die Übersicht über statische ARP-Tabelleneinträge, eingeschränktes und uneingeschränktes Proxy-ARP sowie Konfigurationsdetails zum Zuordnen der IP-Adressen zu den MAC-Adressen erläutert.
Übersicht über statische ARP-Tabelleneinträge
Für Fast Ethernet-, Gigabit-Ethernet-, Tri-Rate-Ethernet-Kupfer- und 10-Gigabit-Ethernet-Schnittstellen können Sie statische ARP-Tabelleneinträge konfigurieren und Zuordnungen zwischen IP- und MAC-Adressen definieren.
Siehe auch
Konfigurieren statischer ARP-Tabelleneinträge für die Zuordnung von IP-Adressen zu MAC-Adressen
Standardmäßig antwortet das Gerät nur dann auf eine ARP-Anforderung (Address Resolution Protocol), wenn sich die Zieladresse der ARP-Anforderung im lokalen Netzwerk der eingehenden Schnittstelle befindet. Für Fast-Ethernet- oder Gigabit-Ethernet-Schnittstellen können Sie statische ARP-Einträge konfigurieren, die die IP-Adressen von Knoten im selben Ethernet-Subnetz mit ihren MAC-Adressen (Media Access Control) verknüpfen. Diese statischen ARP-Einträge ermöglichen es dem Gerät, auf ARP-Anforderungen zu antworten, auch wenn die Zieladresse der ARP-Anforderung nicht lokal für die eingehende Ethernet-Schnittstelle ist.
Außerdem altern statische ARP-Einträge im Gegensatz zu dynamisch gelernten ARP-Einträgen nicht. Sie können statische ARP-Einträge auch in einer Fehlerbehebungssituation konfigurieren oder wenn Ihr Gerät nicht in der Lage ist, eine MAC-Adresse dynamisch zu lernen.
Standardmäßig wird ein ARP-Policer installiert, der von allen Ethernet-Schnittstellen, auf denen Sie die family inet
Anweisung konfiguriert haben, gemeinsam genutzt wird. Indem Sie die arp
Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet policer]
einfügen, können Sie einen bestimmten ARP-Paket-Policer auf eine Schnittstelle anwenden. Diese Funktion ist bei Switches der EX-Serie nicht verfügbar.
So konfigurieren Sie statische ARP-Einträge:
Das Junos-Betriebssystem unterstützt die statischen IPv6-Neighbor Discovery-Cache-Einträge, ähnlich wie die statischen ARP-Einträge in IPv4.
Siehe auch
Eingeschränkter und uneingeschränkter Proxy ARP – Übersicht
Standardmäßig antwortet das Junos-Betriebssystem nur dann auf eine ARP-Anforderung (Address Resolution Protocol), wenn die Zieladresse der ARP-Anforderung lokal für die eingehende Schnittstelle ist.
Bei Ethernet-Schnittstellen können Sie den Router oder die Switches so konfigurieren, dass sie auf die ARP-Anforderungen mit der eingeschränkten oder uneingeschränkten Proxy-ARP-Konfiguration als Proxy antworten.
Möglicherweise möchten Sie eingeschränktes oder uneingeschränktes Proxy-ARP für Router konfigurieren, die als Provider-Edge-Geräte (PE) in Ethernet-Layer-2-LAN-Switching-Domänen fungieren.
Ab Junos OS Version 10.0 reagiert Junos OS nicht mehr auf Proxy-ARP-Anforderungen mit der Standardroute 0.0.0.0. Dieses Verhalten entspricht RFC 1027.
- Eingeschränktes Proxy-ARP
- Uneingeschränktes Proxy-ARP
- Überlegungen zur Topologie für uneingeschränktes Proxy-ARP
Eingeschränktes Proxy-ARP
Eingeschränktes Proxy-ARP ermöglicht es dem Router oder Switch, auf ARP-Anforderungen zu antworten, bei denen die physischen Netzwerke von Quelle und Ziel nicht identisch sind und der Router oder Switch eine aktive Route zur Zieladresse in der ARP-Anforderung hat. Der Router antwortet nicht, wenn sich die Zieladresse im selben Subnetz und auf derselben Schnittstelle wie der ARP-Anforderer befindet.
Uneingeschränktes Proxy-ARP
Uneingeschränktes Proxy-ARP ermöglicht es dem Router oder Switch, auf jede ARP-Anfrage zu antworten, vorausgesetzt, der Router verfügt über eine aktive Route zur Zieladresse der ARP-Anfrage. Die Route ist weder auf die eingehende Schnittstelle der Anforderung beschränkt, noch muss es sich um eine direkte Route handeln.
Wenn Sie uneingeschränktes Proxy-ARP konfigurieren, antwortet der Proxy-Router auf ARP-Anfragen für die Ziel-IP-Adresse auf derselben Schnittstelle wie die eingehende ARP-Anfrage. Dieses Verhalten ist für CMTS-Umgebungen (Cable Modem Termination System) geeignet, kann jedoch zu Problemen mit der Layer-2-Erreichbarkeit führen, wenn Sie in anderen Umgebungen uneingeschränktes Proxy-ARP aktivieren.
Wenn ein IP-Client die ARP-Anforderung über die Ethernet-Leitung sendet, antwortet der Endknoten mit der richtigen IP-Adresse auf die ARP-Anforderung und stellt die richtige MAC-Adresse bereit. Wenn die uneingeschränkte Proxy-ARP-Funktion aktiviert ist, ist die Antwort des Routers redundant und kann den IP-Client dazu verleiten, festzustellen, dass die MAC-Zieladresse innerhalb seines eigenen Subnetzes mit der Adresse des Routers übereinstimmt.
Die Zieladresse kann zwar remote sein, die Quelladresse der ARP-Anforderung muss sich jedoch im selben Subnetz befinden wie die Schnittstelle, über die die ARP-Anforderung empfangen wird. Aus Sicherheitsgründen gilt diese Regel sowohl für uneingeschränktes als auch für eingeschränktes Proxy-ARP.
Überlegungen zur Topologie für uneingeschränktes Proxy-ARP
In den meisten Fällen sollten Sie den Router oder Switch nicht so konfigurieren, dass er uneingeschränktes Proxy-ARP durchführt. Tun Sie dies nur in besonderen Situationen, z. B. wenn Kabelmodems verwendet werden. Abbildung 1 und Abbildung 2 zeigen Beispiele für Situationen, in denen Sie möglicherweise uneingeschränktes Proxy-ARP konfigurieren möchten.
In Abbildung 1 werden auf dem Edge-Gerät keine IP-Protokolle ausgeführt. In diesem Fall konfigurieren Sie den Core-Router so, dass er uneingeschränktes Proxy-ARP durchführt. Das Edge-Gerät ist der Client des Proxys.
In Abbildung 2 werden auf den Broadband Remote Access Server (B-RAS)-Routern keine IP-Protokolle ausgeführt. In diesem Fall konfigurieren Sie uneingeschränktes Proxy-ARP auf den B-RAS-Schnittstellen. Dadurch verhält sich das Core-Gerät so, als wäre es direkt mit den Endbenutzern verbunden.
Siehe auch
Konfigurieren von eingeschränktem und uneingeschränktem Proxy-ARP
Um eingeschränktes oder uneingeschränktes Proxy-ARP zu konfigurieren, fügen Sie die proxy-arp
folgende Anweisung ein:
proxy-arp (restricted |unrestricted);
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit interfaces interface-name unit logical-unit-number ]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Um zur Standardeinstellung zurückzukehren, d. h. um eingeschränktes oder uneingeschränktes Proxy-ARP zu deaktivieren, löschen Sie die proxy-arp
Anweisung aus der Konfiguration:
[edit] user@host# delete interfaces interface-name unit logical-unit-number proxy-arp
Sie können die Anzahl der vom Router oder Switch verarbeiteten eingeschränkten oder uneingeschränkten Proxy-ARP-Anforderungen verfolgen, indem Sie den show system statistics arp
Befehl "Betriebsmodus" eingeben.
Wenn Proxy-ARP standardmäßig oder uneingeschränkt aktiviert ist, antwortet der Router oder Switch auf jede ARP-Anfrage, solange das Gerät über eine aktive Route zur Zieladresse der ARP-Anfrage verfügt. Dieses unnötige ARP-Verhalten kann zu einem Fehler führen, wenn die Empfangsschnittstelle und die Zielantwortschnittstelle identisch sind und das Endgerät (z. B. ein Client) eine Prüfung auf doppelte Adressen durchführt. Um diesen Fehler zu vermeiden, konfigurieren Sie die Router- oder Switch-Schnittstelle mit der no-gratuitous-arp-request
Anweisung. Weitere Informationen zum Deaktivieren von Antworten auf unentgeltliche ARP-Anforderungen finden Sie unter Konfigurieren von kostenlosem ARP .
Siehe auch
Konfigurieren von kostenlosem ARP
Kostenlose ARP-Anfragen (Address Resolution Protocol) helfen bei der Erkennung doppelter IP-Adressen. Ein unentgeltliches ARP ist eine Broadcast-Anfrage für die eigene IP-Adresse eines Routers. Wenn ein Router oder Switch eine ARP-Anfrage für seine eigene IP-Adresse sendet und keine ARP-Antworten empfangen werden, wird die vom Router oder Switch zugewiesene IP-Adresse nicht von anderen Knoten verwendet. Wenn jedoch ein Router oder Switch eine ARP-Anfrage für seine eigene IP-Adresse sendet und eine ARP-Antwort empfangen wird, wird die vom Router oder Switch zugewiesene IP-Adresse bereits von einem anderen Knoten verwendet.
Unentgeltliche ARP-Antworten sind Antwortpakete, die an die Broadcast-MAC-Adresse gesendet werden, wobei die Ziel-IP-Adresse so festgelegt ist, dass sie mit der IP-Adresse des Absenders übereinstimmt. Wenn der Router oder Switch eine unentgeltliche ARP-Antwort erhält, kann der Router oder Switch einen Eintrag für diese Antwort in den ARP-Cache einfügen. Standardmäßig ist die Aktualisierung des ARP-Caches bei unentgeltlichen ARP-Antworten auf dem Router oder Switch deaktiviert.
So aktivieren Sie die Aktualisierung des ARP-Caches für unentgeltliche ARPs:
Um das Standardverhalten wiederherzustellen, d. h. die Aktualisierung des ARP-Caches für unentgeltliches ARP zu deaktivieren, löschen Sie die gratuitous-arp-reply
Anweisung aus der Konfiguration:
[edit interfaces interface-name] user@host# delete gratuitous-arp-reply;
Standardmäßig antwortet der Router oder Switch auf unnötige ARP-Anfragen. Auf Ethernet-Schnittstellen können Sie jedoch Antworten auf unnötige ARP-Anforderungen deaktivieren.
So deaktivieren Sie Antworten auf unentgeltliche ARP-Anforderungen:
Wechseln Sie im Konfigurationsmodus in die
[edit interfaces interface-name]
Hierarchieebene.[edit] user@host# edit interfaces interface-name
Fügen Sie die
no-gratuitous-arp-request
Anweisung hinzu.[edit interfaces interface-name] user@host# set no-gratuitous-arp-request
Um zur Standardeinstellung zurückzukehren, d. h. auf unnötige ARP-Anforderungen zu antworten, löschen Sie die no-gratuitous-arp-request
Anweisung aus der Konfiguration:
[edit interfaces interface-name] user@host# delete no-gratuitous-arp-request