Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

NDP-Proxy und DAD-Proxy

Dieses Thema enthält ausführliche Informationen zu den Proxyfunktionen des Neighbor Discovery Protocol (NDP) und der Duplicate Address Detection (DAD) für den Modus "Schnittstellenbeschränkungen" und "Schnittstellenbeschränkungen".

Überblick

Die NDP-Proxyfunktionalität ermöglicht die Paketweiterleitung zwischen den Hosts, die sich im selben Subnetz befinden und nicht direkt miteinander kommunizieren dürfen. NDP-Proxy ist erforderlich, wenn Sie einem Hostgerät in verschiedenen physischen Segmenten mit demselben Subnetz die Kommunikation ohne zusätzliches Gateway und Präfix ermöglichen möchten. NDP-Proxy ist wie ein Knoten oder ein Router in der Mitte mehrerer Segmente mit demselben Präfix.

Wenn Sie das Gerät als NDP-Proxy für Adressen konfigurieren, sendet die konfigurierte Proxyschnittstelle (Proxy-Router oder -Knoten) die NA-Antworten (Neighbor Advertisement) an Neighbor Solicitation (NS) im Namen von Geräten in einem anderen physischen Segment.

Die DAD-Proxyfunktion ermöglicht es einem Gerät, auf DAD-Abfragen für einen Knoten zu antworten, der nicht direkt mit anderen Knoten im selben Subnetz kommunizieren kann.

Anmerkung:

Die NDP- oder DAD-Proxyfunktionalität funktioniert nicht, wenn der NS für eine lokale Verbindungsadresse bestimmt ist.

NDP- und DAD-Proxy (Interface Restricted Mode)

Die NDP-Proxyfunktionalität (Interface Restricted Mode) ermöglicht die Paketweiterleitung zwischen den Hosts, die sich im selben Subnetz befinden und nur eingeschränkt direkt miteinander kommunizieren können. Diese Funktion wird vor allem in einem Szenario verwendet, in dem der Proxyknoten Zugriffssteuerung anwenden und den Datenverkehr zwischen den Hosts abfangen muss. Wenn Sie NDP-Proxy auf einer Firewall der SRX-Serie konfigurieren, sendet das Gerät NA und antwortet auf Anfragen von Geräten, die MAC-Adressen von IPv6-Präfixen suchen, die Hosts innerhalb der Firewall der SRX-Serie zugewiesen sind.

Die DAD-Funktion erkennt die Verwendung doppelter Adressen auf einem lokalen Link mithilfe von NS-Nachrichten (Neighbor Solicitation). Die DAD-Funktion ist für IPv6-Adressen gedacht und funktioniert ähnlich wie unentgeltliches ARP in IPv4.

NDP- und DAD-Proxy (Interface Unrestricted Mode)

Ab Junos OS Version 22.1R1 unterstützen wir NDP- und DAD-Proxy-Funktionen über mehrere Proxy-konfigurierte Schnittstellen hinweg (nicht eingeschränkter Schnittstellenmodus). Der uneingeschränkte Proxy der NDP-Schnittstelle funktioniert innerhalb der vorhandenen IPv6-ND-Funktionalität und wird nur aufgerufen, wenn er aktiviert ist. Schnittstellenfreier Modus: Die ND-Funktionalität arbeitet mit allen konfigurierten Schnittstellen für NDP- und DAD-Proxy zusammen.

In früheren Versionen war die NDP- und DAD-Proxyfunktionalität beschränkt und beschränkte sich nur auf die konfigurierte Schnittstelle. Derzeit funktioniert die NDP- und DAD-Proxyfunktionalität über mehrere konfigurierte Schnittstellen hinweg (uneingeschränkter Schnittstellenmodus).

Mit der NDP- und DAD-Proxyfunktionalität im schnittstellenuneingeschränkten Modus arbeiten die konfigurierten Schnittstellen zusammen, um NA-Antworten (Neighbor Advertisement) an Neighbor Solicitation (NS) im Namen von Knoten in einem anderen physischen Segment zu senden, die von den Knoten im Ursprungssegment ohne den Overhead einer zusätzlichen Präfixzuweisung nicht direkt erreichbar sind.

Wenn Sie NDP-Proxy im Modus "Schnittstellenbeschränkungen" auf Schnittstellen mit dem set interfaces interface-name unit number family inet6 ndp-proxy interface-unrestricted Befehl aktivieren, gehen die Proxyschnittstellen wie folgt vor:

  • Generiert NA für NS-Anforderungen. Anforderungen werden dann von Hosts im Namen anderer Hosts gesendet, die im Subnetz über die Proxyschnittstellen erreichbar sind.

  • Erzeugt NS und sendet an alle Proxyschnittstellen für das Subnetz, wenn die angeforderte Adresse in NS in der Nachbartabelle nicht verfügbar ist.

    Sucht in der Routing-Tabelle, die zur Eingangsschnittstelle des NS-Pakets gehört, nach weiterleitenden Routen für die Zieladresse. Die Routensuche stellt eine Liste der Routen bereit, die auf die Auflösung der nächsten Hops verweisen. Der Proxy verwendet diese Next Hops, um NS auf verschiedenen konfigurierten Ports zu senden.

    Anmerkung:

    Wenn der Proxy die Routensuche durchführt und der resultierende Route-Next-Hop auf dieselbe Schnittstelle verweist, an der der NS angekommen ist, löscht der Proxy diesen NS.

  • Hiermit können Sie die Neighbor Unreachability Detection (NUD) auch dann erzwingen, wenn die angeforderte Zieladresse im Nachbarcache verfügbar und erreichbar ist. Die Funktion "ND erzwingen" ist nützlich, wenn die Hosts von einem Segment in ein anderes verschoben werden. Verwenden Sie den set protocols neighbor-discovery ndp-proxy proxy-force-resolve Befehl, um die NDP-Proxy-Auflösungsfunktion zu aktivieren.

  • Leitet Pakete zwischen Hosts weiter, die es als Proxy verwendet, und ermöglicht so die Kommunikation zwischen den Hosts, sobald die Nachbarn aufgelöst sind.

Die DAD-Funktion erkennt die Verwendung doppelter Adressen auf einem lokalen Link mithilfe von NS-Nachrichten (Neighbor Solicitation).

Wenn Sie den DAD-Proxy auf mehreren Schnittstellen mit dem set interfaces interface-name unit <number> family inet6 dad-proxy interface-unrestricted folgenden Befehl aktivieren:

  • Der DAD-Proxy generiert eine NA-Antwort für die DAD-NS-Anforderungen im Namen anderer Hosts, wenn die vorläufige NS-Adresse über eine andere Proxyschnittstelle erreichbar ist.

  • Wenn eine DAD-NS-Anforderung eintrifft und die vorläufige Adresse im Nachbarcache nicht verfügbar oder veraltet ist, initiiert der DAD-Proxy NUD auf allen anderen Proxy-Schnittstellen mit Ausnahme der empfangenen.

  • Wenn eine DAD-Anforderung von einem Host für eine vorläufige Adresse stammt, die sich bereits in der Mitte eines DAD-Prozesses von einem anderen Host befindet, antwortet der DAD-Proxy für beide Hosts mit NA.

Konfigurieren des NDP-Proxys

Sie können den Neighbor Discovery Protocol (NDP)-Proxy im schnittstellenbeschränkten Modus oder im schnittstellenfreien Modus (über mehrere Schnittstellen hinweg) aktivieren. Es ist nicht möglich, den eingeschränkten Modus der DAD-Proxyschnittstelle und den uneingeschränkten Modus der Schnittstelle gleichzeitig auf einer Schnittstelle zu konfigurieren.
  1. So aktivieren Sie NDP-Proxy, die auf eine Schnittstelle beschränkt ist (eingeschränkter Modus für Schnittstellen):
  2. So aktivieren Sie den NDP-Proxy auf mehreren Schnittstellen (uneingeschränkter Schnittstellenmodus):
  3. So aktivieren oder deaktivieren Sie das NDP-Proxyverhalten beim Senden von NS für bereits gelernte Einträge, die erreichbar sind:
  4. So deaktivieren Sie den NDP-Proxy für eine Adresse, die nicht im Nachbarcache vorhanden ist:
  5. So rufen Sie Statistiken zu Ereignissen wie NDP-Proxy-Anfragen, NDP-Proxy-Konflikte, NDP-Proxy-Duplikate, NDP-Proxy-Auflösungsanforderungen und verworfene NDP-Pakete ab:
    show system statistics icmp6

Konfigurieren des DAD-Proxys

Sie können den DAD-Proxy (Duplicate Address Detection) auf einer eingeschränkten Schnittstelle (eingeschränkter Schnittstellenmodus) oder über mehrere Schnittstellen hinweg (nicht eingeschränkter Schnittstellenmodus) aktivieren. Sie können den DAD-Proxy nicht gleichzeitig im Modus für Schnittstellenbeschränkungen und im Modus für Schnittstelleneinschränkungen konfigurieren.

So konfigurieren Sie den DAD-Proxy auf einer Schnittstelle oder auf mehreren Schnittstellen:

  1. So aktivieren Sie den DAD-Proxy, der auf eine Schnittstelle beschränkt ist (eingeschränkter Modus für Schnittstellen):
  2. So aktivieren Sie den DAD-Proxy auf mehreren Schnittstellen (uneingeschränkter Modus für die Schnittstelle):
  3. So deaktivieren Sie den DAD-Proxy für eine Adresse, die nicht in einem Nachbarcache vorhanden ist:
  4. So rufen Sie Statistiken zu Ereignissen wie DAD-Proxy-Anfragen, DAD-Proxy-Konflikte, DAD-Proxy-Duplikate, DAD-Proxy-Auflösungsanforderungen und verworfene DAD-Pakete ab:
    show system statistics icmp6

NDP-Proxy-Unterstützung für Benutzerrouten

In diesem Thema wird die Unterstützung für den Neighbor Discovery Protocol (NDP)-Proxy vorgestellt. Wenn diese Funktion für eine Schnittstelle aktiviert ist, werden Hostrouten in der Routing Information Base (RIB) für jede IPv4- oder IPv6-Hostadresse verwaltet, die in den Tabellen Address Resolution Protocol (ARP) und Neighbor Discovery Protocol (NDP) vorhanden ist.

Nehmen wir zum Beispiel zwei Hosts, die Teil desselben Netzwerksegments sind, sich aber in unterschiedlichen physischen Netzwerken befinden, die jeweils mit einem eigenen Gateway verbunden sind. Beide Hosts sind mit derselben IP-Adresse konfiguriert.

Wenn Server in Hosts unterteilt werden, um eine flexible Bereitstellung und Migration über Server und Gateways hinweg zu ermöglichen, ist es üblich, Layer-2-Konnektivität zwischen mehreren Gateways zu konfigurieren. Dies kann jedoch zu Netzwerkproblemen führen, z. B. zu größeren Layer-2-Domänen und Broadcast-Sturm. Um dieses Problem zu beheben, können Sie eine routenbasierte Proxy-Nachbarerkennung auf den Host-Gateways verwenden. Das Gateway sendet seine eigene MAC-Adresse an den Quellenhost, und der Datenverkehr, der vom Quellhost an andere Hosts gesendet wird, erfolgt über Routen und nicht über Layer 2-Switching.

Abbildung 1: Proxy-ND-Topologie Proxy ND topology

Betrachten wir Host A und Host B mit den IPV6-Adressen 2001:db8:a20::1/64 und 2001:db8:20::2/64 als im selben Netzwerksegment. Router A und Router B sind über ein Layer-3-Netzwerk miteinander verbunden. Die Schnittstelle zu den Hosts beider Router hat die gleiche MAC- und IPv6-Adresse. Da sich die IPv6-Zieladresse und die lokale IPv6-Adresse im selben Netzwerksegment befinden, sendet Host A ein NS-Paket (Neighbor Solicitation), um die MAC-Adresse von Host B anzufordern, wenn er mit Host B kommunizieren möchte. Da sich Host A und Host B jedoch in unterschiedlichen physischen Netzwerken befinden, empfängt Host B den NS nicht und kann nicht antworten.

Um dieses Problem zu beheben, wird eine neue Proxy-Option für die Nachbarsuche (ND) eingeführt, die auf Benutzerrouten basiert. Dieser Modus wird nur im uneingeschränkten Proxymodus unterstützt.

Der neue Proxy-Modus nutzt die Funktion zur Generierung von Host-Routen, um die Erreichbarkeit zu überprüfen. Wenn diese Funktion für eine Schnittstelle aktiviert ist, werden Hostrouten in der Routing Information Base (RIB) für jede IPv4- oder IPv6-Hostadresse verwaltet, die in den Tabellen Address Resolution Protocol (ARP) und Neighbor Discovery Protocol (NDP) vorhanden ist. Diese Hostrouten, die im RIB aktiv sind, stehen für die Neuverteilung in BGP oder IGPs zur Verfügung, vorbehaltlich der Exportrichtlinien des Routing-Protokolls. Der Benutzerrouten-Proxy-ND verwendet diese neu verteilten Benutzerrouten, um die Erreichbarkeit von Hosts zu überprüfen.

Anmerkung:

Proaktive ARP-Erkennung hilft beim schnellen Lernen erreichbarer VMs, und proaktives IPv6 Neighbor Learning wird nicht unterstützt.

Anmerkung:

Hostrouten in nicht standardmäßigen Routingtabellen werden nicht unterstützt, und daher wird auch das neue benutzerroutenbasierte Proxying nicht unterstützt.

Siehe auch