Présentation de l’ARP des proxys restreints et non restreints
Par défaut, Junos OS répond à une demande ARP (Address Resolution Protocol) uniquement si l’adresse de destination de la demande ARP est locale pour l’interface entrante.
Pour les interfaces Ethernet, vous pouvez configurer le routeur ou les commutateurs pour qu’ils répondent par proxy aux requêtes ARP à l’aide de la configuration ARP du proxy restreint ou non restreint.
Vous souhaiterez peut-être configurer un ARP proxy restreint ou non restreint pour les routeurs qui agissent comme des périphériques de périphérie fournisseur (PE) dans les domaines de commutation LAN Ethernet de couche 2.
À partir de Junos OS version 10.0, Junos OS ne répond plus aux demandes ARP proxy avec la route par défaut 0.0.0.0. Ce comportement est conforme à la RFC 1027.
ARP du proxy restreint
L’ARP de proxy restreint permet au routeur ou au commutateur de répondre aux demandes ARP dans lesquelles les réseaux physiques de la source et de la cible ne sont pas identiques et le routeur ou le commutateur dispose d’une route active vers l’adresse cible dans la demande ARP. Le routeur ne répond pas si l’adresse cible se trouve sur le même sous-réseau et la même interface que le demandeur ARP.
ARP proxy sans restriction
L’ARP proxy sans restriction permet au routeur ou au commutateur de répondre à n’importe quelle requête ARP, à condition que le routeur dispose d’un itinéraire actif vers l’adresse de destination de la demande ARP. La route n’est pas limitée à l’interface entrante de la requête, et il n’est pas nécessaire qu’il s’agisse d’une route directe.
Si vous configurez l’ARP du proxy sans restriction, le routeur proxy répond aux demandes ARP pour l’adresse IP cible sur la même interface que la demande ARP entrante. Ce comportement est approprié pour les environnements CMTS (Cable Modem Termination System), mais peut entraîner des problèmes d’accessibilité de couche 2 si vous activez ARP proxy sans restriction dans d’autres environnements.
Lorsqu’un client IP diffuse la demande ARP sur le fil Ethernet, le nœud d’extrémité avec l’adresse IP correcte répond à la demande ARP et fournit l’adresse MAC correcte. Si la fonctionnalité ARP de proxy sans restriction est activée, la réponse du routeur est redondante et peut tromper le client IP en lui faisant déterminer que l’adresse MAC de destination dans son propre sous-réseau est la même que l’adresse du routeur.
Bien que l’adresse de destination puisse être distante, l’adresse source de la demande ARP doit se trouver sur le même sous-réseau que l’interface sur laquelle la demande ARP est reçue. Pour des raisons de sécurité, cette règle s’applique à la fois à l’ARP de proxy sans restriction et à ARP restreint.
Considérations relatives à la topologie pour un proxy ARP sans restriction
Dans la plupart des cas, vous ne devez pas configurer le routeur ou le commutateur pour effectuer un ARP proxy sans restriction. Ne le faites que dans des situations particulières, par exemple lors de l’utilisation de modems câble. Figure 1 et Figure 2 montrez des exemples de situations dans lesquelles vous souhaiterez peut-être configurer un ARP de proxy sans restriction.
En Figure 1, l’équipement périphérique n’exécute aucun protocole IP. Dans ce cas, vous configurez le routeur central pour effectuer un ARP proxy sans restriction. L’équipement périphérique est le client du proxy.
En Figure 2, les routeurs B-RAS (Broadband Remote Access Server) n’exécutent aucun protocole IP. Dans ce cas, vous configurez l’ARP proxy sans restriction sur les interfaces B-RAS. Ainsi, l’appareil central se comporte comme s’il était directement connecté aux utilisateurs finaux.
