AUF DIESER SEITE
ARP
Auf ARP-Tabelleneinträge (Static Address Resolution Protocol) wird standardmäßig zurückgegriffen, wenn sich die Zieladresse des ARP im lokalen Netzwerk befindet. Diese statischen ARP-Adressen können für Ethernet- oder Gigabit-Ethernet-Schnittstellen konfiguriert werden. In den folgenden Themen wird die Übersicht über statische ARP-Tabelleneinträge, eingeschränktes und uneingeschränktes Proxy-ARP sowie Konfigurationsdetails zum Zuordnen der IP-Adressen zu den MAC-Adressen erläutert.
Übersicht über statische ARP-Tabelleneinträge
Für Fast Ethernet-, Gigabit-Ethernet-, Tri-Rate-Ethernet-Kupfer- und 10-Gigabit-Ethernet-Schnittstellen können Sie statische ARP-Tabelleneinträge konfigurieren und Zuordnungen zwischen IP- und MAC-Adressen definieren.
Siehe auch
Konfigurieren statischer ARP-Tabelleneinträge für die Zuordnung von IP-Adressen zu MAC-Adressen
Standardmäßig antwortet das Gerät nur dann auf eine ARP-Anforderung (Address Resolution Protocol), wenn sich die Zieladresse der ARP-Anforderung im lokalen Netzwerk der eingehenden Schnittstelle befindet. Für Fast-Ethernet- oder Gigabit-Ethernet-Schnittstellen können Sie statische ARP-Einträge konfigurieren, die die IP-Adressen von Knoten im selben Ethernet-Subnetz mit ihren MAC-Adressen (Media Access Control) verknüpfen. Diese statischen ARP-Einträge ermöglichen es dem Gerät, auf ARP-Anfragen zu reagieren, auch wenn die Zieladresse der ARP-Anfrage nicht lokal für die eingehende Ethernet-Schnittstelle ist.
Außerdem altern statische ARP-Einträge im Gegensatz zu dynamisch erlernten ARP-Einträgen nicht. Sie können auch statische ARP-Einträge in einer Fehlerbehebungssituation konfigurieren oder wenn Ihr Gerät nicht in der Lage ist, eine MAC-Adresse dynamisch zu lernen.
Standardmäßig ist ein ARP-Policer installiert, der von allen Ethernet-Schnittstellen gemeinsam genutzt wird, auf denen Sie die Anweisung family inet konfiguriert haben. Indem Sie die arp Anweisung auf der [edit interfaces interface-name unit logical-unit-number family inet policer] Hierarchieebene einschließen, können Sie einen spezifischen ARP-Paket-Policer auf eine Schnittstelle anwenden. Diese Funktion ist bei Switches der EX-Serie nicht verfügbar.
So konfigurieren Sie statische ARP-Einträge:
Das Junos OS unterstützt die statischen IPv6-Cache-Einträge für die Ermittlung von Nachbarn, ähnlich wie die statischen ARP-Einträge in IPv4.
Siehe auch
Eingeschränkte und uneingeschränkte Proxy-ARP-Übersicht
Standardmäßig antwortet das Junos OS nur dann auf eine ARP-Anfrage (Address Resolution Protocol), wenn die Zieladresse der ARP-Anforderung lokal für die eingehende Schnittstelle ist.
Für Ethernet-Schnittstellen können Sie den Router oder die Switches so konfigurieren, dass sie mit der eingeschränkten oder uneingeschränkten Proxy-ARP-Konfiguration auf die ARP-Anforderungen antworten.
Möglicherweise möchten Sie eingeschränktes oder uneingeschränktes Proxy-ARP für Router konfigurieren, die als Provider-Edge-Geräte (PE) in Ethernet-Layer 2-LAN-Switching-Domänen fungieren.
Ab Junos OS Version 10.0 antwortet Junos OS nicht mehr auf Proxy-ARP-Anfragen mit der Standardroute 0.0.0.0. Dieses Verhalten entspricht RFC 1027.
- Eingeschränktes Proxy-ARP
- Uneingeschränktes Proxy-ARP
- Überlegungen zur Topologie für uneingeschränktes Proxy-ARP
Eingeschränktes Proxy-ARP
Eingeschränktes Proxy-ARP ermöglicht es dem Router oder Switch, auf ARP-Anforderungen zu reagieren, bei denen die physischen Netzwerke von Quelle und Ziel nicht identisch sind und der Router oder Switch über eine aktive Route zur Zieladresse in der ARP-Anforderung verfügt. Der Router antwortet nicht, wenn sich die Zieladresse im selben Subnetz und auf derselben Schnittstelle wie der ARP-Anforderer befindet.
Uneingeschränktes Proxy-ARP
Uneingeschränktes Proxy-ARP ermöglicht es dem Router oder Switch, auf jede ARP-Anfrage zu antworten, vorausgesetzt, der Router verfügt über eine aktive Route zur Zieladresse der ARP-Anforderung. Die Route ist weder auf die eingehende Schnittstelle der Anforderung beschränkt, noch muss es sich um eine direkte Route handeln.
Wenn Sie uneingeschränktes Proxy-ARP konfigurieren, antwortet der Proxy-Router auf ARP-Anforderungen für die Ziel-IP-Adresse auf derselben Schnittstelle wie die eingehende ARP-Anforderung. Dieses Verhalten ist für CMTS-Umgebungen (Cable Modem Termination System) geeignet, kann jedoch zu Problemen mit der Layer-2-Erreichbarkeit führen, wenn Sie uneingeschränktes Proxy-ARP in anderen Umgebungen aktivieren.
Wenn ein IP-Client die ARP-Anforderung über die Ethernet-Leitung sendet, antwortet der Endknoten mit der richtigen IP-Adresse auf die ARP-Anforderung und stellt die richtige MAC-Adresse bereit. Wenn die uneingeschränkte Proxy-ARP-Funktion aktiviert ist, ist die Routerantwort redundant und kann den IP-Client dazu verleiten, festzustellen, dass die Ziel-MAC-Adresse in seinem eigenen Subnetz mit der Adresse des Routers identisch ist.
Die Zieladresse kann zwar remote sein, die Quelladresse der ARP-Anforderung muss sich jedoch im selben Subnetz befinden wie die Schnittstelle, auf der die ARP-Anforderung empfangen wird. Aus Sicherheitsgründen gilt diese Regel sowohl für uneingeschränktes als auch für eingeschränktes Proxy-ARP.
Überlegungen zur Topologie für uneingeschränktes Proxy-ARP
In den meisten Fällen sollten Sie den Router oder Switch nicht so konfigurieren, dass uneingeschränktes Proxy-ARP ausgeführt wird. Verwenden Sie diesen Schritt nur in besonderen Situationen, z. B. bei Verwendung von Kabelmodems. Abbildung 1 und Abbildung 2 zeigen Beispiele für Situationen, in denen Sie möglicherweise uneingeschränktes Proxy-ARP konfigurieren möchten.
In Abbildung 1 führt das Edge-Gerät keine IP-Protokolle aus. In diesem Fall konfigurieren Sie den Core-Router so, dass er uneingeschränktes Proxy-ARP ausführt. Das Edge-Gerät ist der Client des Proxys.
In Abbildung 2 führen die B-RAS-Router (Broadband Remote Access Server) keine IP-Protokolle aus. In diesem Fall konfigurieren Sie uneingeschränktes Proxy-ARP auf den B-RAS-Schnittstellen. Dadurch kann sich das Core-Gerät so verhalten, als wäre es direkt mit den Endbenutzern verbunden.
Siehe auch
Konfigurieren von eingeschränktem und uneingeschränktem Proxy-ARP
Um eingeschränktes oder uneingeschränktes Proxy-ARP zu konfigurieren, fügen Sie die proxy-arp folgende Anweisung ein:
proxy-arp (restricted |unrestricted);
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
[edit interfaces interface-name unit logical-unit-number ][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Um zur Standardeinstellung zurückzukehren, d. h. eingeschränktes oder uneingeschränktes Proxy-ARP zu deaktivieren, löschen Sie die proxy-arp Anweisung aus der Konfiguration:
[edit] user@host# delete interfaces interface-name unit logical-unit-number proxy-arp
Sie können die Anzahl der eingeschränkten oder uneingeschränkten Proxy-ARP-Anforderungen verfolgen, die vom Router oder Switch verarbeitet werden, indem Sie den Befehl für den show system statistics arp Betriebsmodus eingeben.
Wenn Proxy-ARP standardmäßig oder uneingeschränkt aktiviert ist, antwortet der Router oder Switch auf jede ARP-Anforderung, solange das Gerät über eine aktive Route zur Zieladresse der ARP-Anforderung verfügt. Dieses grundlose ARP-Verhalten kann zu einem Fehler führen, wenn die Empfangsschnittstelle und die Zielantwortschnittstelle identisch sind und das Endgerät (z. B. ein Client) eine doppelte Adressprüfung durchführt. Um diesen Fehler zu vermeiden, konfigurieren Sie die Router- oder Switch-Schnittstelle mit der Anweisungno-gratuitous-arp-request. Informationen zum Deaktivieren von Antworten auf unentgeltliche ARP-Anforderungen finden Sie unter Konfigurieren von Gratuitous ARP.
Siehe auch
Konfigurieren von Gratuitous ARP
Gratuitous Address Resolution Protocol (ARP)-Anfragen helfen bei der Erkennung doppelter IP-Adressen. Ein kostenloses ARP ist eine Broadcast-Anfrage für die eigene IP-Adresse eines Routers. Wenn ein Router oder Switch eine ARP-Anfrage für seine eigene IP-Adresse sendet und keine ARP-Antworten empfangen werden, wird die dem Router oder Switch zugewiesene IP-Adresse nicht von anderen Knoten verwendet. Wenn jedoch ein Router oder Switch eine ARP-Anfrage für seine eigene IP-Adresse sendet und eine ARP-Antwort empfangen wird, wird die dem Router oder Switch zugewiesene IP-Adresse bereits von einem anderen Knoten verwendet.
Kostenlose ARP-Antworten sind Antwortpakete, die an die Broadcast-MAC-Adresse gesendet werden, wobei die Ziel-IP-Adresse mit der IP-Adresse des Absenders identisch ist. Wenn der Router oder Switch eine unentgeltliche ARP-Antwort erhält, kann der Router oder Switch einen Eintrag für diese Antwort in den ARP-Cache einfügen. Standardmäßig ist die Aktualisierung des ARP-Caches für kostenlose ARP-Antworten auf dem Router oder Switch deaktiviert.
So aktivieren Sie die Aktualisierung des ARP-Caches für kostenlose ARPs:
Um das Standardverhalten wiederherzustellen, d. h. die Aktualisierung des ARP-Caches für kostenloses ARP zu deaktivieren, löschen Sie die gratuitous-arp-reply Anweisung aus der Konfiguration:
[edit interfaces interface-name] user@host# delete gratuitous-arp-reply;
Standardmäßig reagiert der Router oder Switch auf unentgeltliche ARP-Anfragen. Auf Ethernet-Schnittstellen können Sie jedoch Antworten auf unentgeltliche ARP-Anforderungen deaktivieren.
So deaktivieren Sie Antworten auf unentgeltliche ARP-Anfragen:
Wechseln Sie im Konfigurationsmodus in die
[edit interfaces interface-name]Hierarchieebene.[edit] user@host# edit interfaces interface-name
Fügen Sie die
no-gratuitous-arp-requestAnweisung hinzu.[edit interfaces interface-name] user@host# set no-gratuitous-arp-request
Um zur Standardeinstellung zurückzukehren, d. h. auf unnötige ARP-Anforderungen zu reagieren, löschen Sie die no-gratuitous-arp-request Anweisung aus der Konfiguration:
[edit interfaces interface-name] user@host# delete no-gratuitous-arp-request