Eingeschränkter und uneingeschränkter Proxy ARP – Übersicht
Standardmäßig antwortet das Junos-Betriebssystem nur dann auf eine ARP-Anforderung (Address Resolution Protocol), wenn die Zieladresse der ARP-Anforderung lokal für die eingehende Schnittstelle ist.
Bei Ethernet-Schnittstellen können Sie den Router oder die Switches so konfigurieren, dass sie auf die ARP-Anforderungen mit der eingeschränkten oder uneingeschränkten Proxy-ARP-Konfiguration als Proxy antworten.
Möglicherweise möchten Sie eingeschränktes oder uneingeschränktes Proxy-ARP für Router konfigurieren, die als Provider-Edge-Geräte (PE) in Ethernet-Layer-2-LAN-Switching-Domänen fungieren.
Ab Junos OS Version 10.0 reagiert Junos OS nicht mehr auf Proxy-ARP-Anforderungen mit der Standardroute 0.0.0.0. Dieses Verhalten entspricht RFC 1027.
Eingeschränktes Proxy-ARP
Eingeschränktes Proxy-ARP ermöglicht es dem Router oder Switch, auf ARP-Anforderungen zu antworten, bei denen die physischen Netzwerke von Quelle und Ziel nicht identisch sind und der Router oder Switch eine aktive Route zur Zieladresse in der ARP-Anforderung hat. Der Router antwortet nicht, wenn sich die Zieladresse im selben Subnetz und auf derselben Schnittstelle wie der ARP-Anforderer befindet.
Uneingeschränktes Proxy-ARP
Uneingeschränktes Proxy-ARP ermöglicht es dem Router oder Switch, auf jede ARP-Anfrage zu antworten, vorausgesetzt, der Router verfügt über eine aktive Route zur Zieladresse der ARP-Anfrage. Die Route ist weder auf die eingehende Schnittstelle der Anforderung beschränkt, noch muss es sich um eine direkte Route handeln.
Wenn Sie uneingeschränktes Proxy-ARP konfigurieren, antwortet der Proxy-Router auf ARP-Anfragen für die Ziel-IP-Adresse auf derselben Schnittstelle wie die eingehende ARP-Anfrage. Dieses Verhalten ist für CMTS-Umgebungen (Cable Modem Termination System) geeignet, kann jedoch zu Problemen mit der Layer-2-Erreichbarkeit führen, wenn Sie in anderen Umgebungen uneingeschränktes Proxy-ARP aktivieren.
Wenn ein IP-Client die ARP-Anforderung über die Ethernet-Leitung sendet, antwortet der Endknoten mit der richtigen IP-Adresse auf die ARP-Anforderung und stellt die richtige MAC-Adresse bereit. Wenn die uneingeschränkte Proxy-ARP-Funktion aktiviert ist, ist die Antwort des Routers redundant und kann den IP-Client dazu verleiten, festzustellen, dass die MAC-Zieladresse innerhalb seines eigenen Subnetzes mit der Adresse des Routers übereinstimmt.
Die Zieladresse kann zwar remote sein, die Quelladresse der ARP-Anforderung muss sich jedoch im selben Subnetz befinden wie die Schnittstelle, über die die ARP-Anforderung empfangen wird. Aus Sicherheitsgründen gilt diese Regel sowohl für uneingeschränktes als auch für eingeschränktes Proxy-ARP.
Überlegungen zur Topologie für uneingeschränktes Proxy-ARP
In den meisten Fällen sollten Sie den Router oder Switch nicht so konfigurieren, dass er uneingeschränktes Proxy-ARP durchführt. Tun Sie dies nur in besonderen Situationen, z. B. wenn Kabelmodems verwendet werden. Abbildung 1 und Abbildung 2 zeigen Sie Beispiele für Situationen, in denen Sie möglicherweise uneingeschränktes Proxy-ARP konfigurieren möchten.
In Abbildung 1werden auf dem Edge-Gerät keine IP-Protokolle ausgeführt. In diesem Fall konfigurieren Sie den Core-Router so, dass er uneingeschränktes Proxy-ARP durchführt. Das Edge-Gerät ist der Client des Proxys.
In Abbildung 2führen die B-RAS-Router (Broadband Remote Access Server) keine IP-Protokolle aus. In diesem Fall konfigurieren Sie uneingeschränktes Proxy-ARP auf den B-RAS-Schnittstellen. Dadurch verhält sich das Core-Gerät so, als wäre es direkt mit den Endbenutzern verbunden.
