Proxy ARP
Comprendre l’ARP du proxy
Vous pouvez configurer le protocole ARP (Address Resolution Protocol) proxy pour permettre au commutateur de répondre aux requêtes ARP pour les adresses réseau en proposant sa propre adresse MAC (Ethernet Media Access Control). Lorsque l’ARP proxy est activé, le commutateur capture et achemine le trafic vers la destination prévue.
L’ARP du proxy est utile dans les situations où les hôtes se trouvent sur des réseaux physiques différents et que vous ne souhaitez pas utiliser le masquage de sous-réseau. Étant donné que les diffusions ARP ne sont pas propagées entre les hôtes sur des réseaux physiques différents, les hôtes ne recevront pas de réponse à leur demande ARP si la destination se trouve sur un sous-réseau différent. L’activation du commutateur pour qu’il agisse en tant que proxy ARP permet aux hôtes de communiquer entre eux de manière transparente via le commutateur. Le proxy ARP peut aider les hôtes d’un sous-réseau à atteindre des sous-réseaux distants sans que vous ayez à configurer le routage ou une passerelle par défaut.
- Avantages de l’utilisation de Proxy ARP
- Qu’est-ce que l’ARP ?
- Présentation de Proxy ARP
- Meilleures pratiques pour Proxy ARP
Avantages de l’utilisation de Proxy ARP
Permet au commutateur de répondre aux requêtes ARP pour les adresses réseau en proposant sa propre adresse MAC (Media Access Control) Ethernet.
Permet au commutateur d’agir comme un proxy ARP et permet aux hôtes de communiquer entre eux de manière transparente via le commutateur.
Permet aux hôtes d’un sous-réseau d’atteindre des sous-réseaux distants sans que vous ayez à configurer le routage ou une passerelle par défaut.
Qu’est-ce que l’ARP ?
Les réseaux locaux Ethernet utilisent ARP pour mapper les adresses MAC Ethernet aux adresses IP. Chaque périphérique gère un cache contenant un mappage des adresses MAC aux adresses IP. Le commutateur conserve ce mappage dans un cache qu’il consulte lorsqu’il transfère des paquets vers des périphériques réseau. Si le cache ARP ne contient pas d’entrée pour le périphérique de destination, l’hôte (le client DHCP) diffuse une requête ARP pour l’adresse de ce périphérique et stocke la réponse dans le cache.
Présentation de Proxy ARP
Lorsque le proxy ARP est activé, si le commutateur reçoit une demande ARP pour laquelle il dispose d’un itinéraire vers l’adresse IP cible (de destination), le commutateur répond en envoyant un paquet de réponse ARP proxy contenant sa propre adresse MAC. L’hôte qui a envoyé la requête ARP envoie ensuite ses paquets au commutateur, qui les transmet à l’hôte prévu.
Pour des raisons de sécurité, l’adresse source d’une requête ARP doit se trouver sur le même sous-réseau que l’interface sur laquelle la demande ARP est reçue.
Vous pouvez configurer le proxy ARP pour chaque interface. Vous pouvez également configurer l’ARP proxy pour une interface de routage et de pontage (IRB) intégrée nommée irb ou une interface VLAN routée (RVI) nommée vlan. (Sur EX Series commutateurs qui utilisent Juniper Networks Système d'exploitation Junos (Junos OS) avec prise en charge du style de configuration ELS (Enhanced L2 Software), la fonctionnalité est connue sous le nom d’interface IRB. Sur les commutateurs EX Series qui utilisent Junos OS qui ne prend pas en charge ELS, la fonctionnalité est appelée RVI.)
Deux modes d’ARP proxy sont pris en charge : restreintes et non restreintes. Dans les deux cas, le commutateur doit disposer d’un itinéraire actif vers l’adresse de destination de la demande ARP.
Restreint : le commutateur répond aux demandes ARP dans lesquelles les réseaux physiques de la source et de la cible sont différents et ne répond pas si les adresses IP source et cible se trouvent sur le même sous-réseau. Dans ce mode, les hôtes d’un même sous-réseau communiquent sans ARP proxy. Nous vous recommandons d’utiliser ce mode sur le commutateur.
Sans restriction : le commutateur répond à toutes les demandes ARP pour lesquelles il dispose d’un itinéraire vers la destination. Il s’agit du mode par défaut (car il s’agit du mode par défaut dans les configurations Juniper Networks Système d'exploitation Junos (Junos OS) autres que celles du commutateur). Nous vous recommandons d’utiliser le mode restreint sur le commutateur.
Meilleures pratiques pour Proxy ARP
Nous vous recommandons les meilleures pratiques suivantes pour configurer ARP proxy sur les commutateurs :
Définissez l’ARP proxy sur le mode restreint.
Utilisez le mode restreint lors de la configuration de l’ARP proxy sur les interfaces RVI ou IRB.
Si vous définissez l’ARP du proxy sur unrestricted, désactivez les requêtes ARP gratuites sur chaque interface activée pour l’ARP du proxy.
Configuration du proxy ARP sur les périphériques prenant en charge ELS
Cette tâche utilise Junos OS pour EX Series commutateurs et les commutateurs QFX3500 et QFX3600 avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à Configuration de Proxy ARP sur les commutateurs ou Configuration de Proxy ARP. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Vous pouvez configurer le protocole ARP (Address Resolution Protocol) proxy sur votre commutateur pour qu’il puisse répondre aux requêtes ARP pour les adresses réseau en proposant sa propre adresse MAC (Media Access Control). Lorsque l’ARP proxy est activé, le commutateur capture et achemine le trafic vers la destination prévue.
Pour configurer l’ARP du proxy sur une interface unique :
[edit interfaces] user@switch# set interface-name unit logical-unit-number proxy-arp (restricted | unrestricted)
Nous vous recommandons de configurer l’ARP du proxy en mode restreint. En mode restreint, le commutateur n’agit pas en tant que proxy si les adresses IP source et cible se trouvent sur le même sous-réseau. Si vous décidez d’utiliser le mode sans restriction, désactivez les requêtes ARP gratuites sur l’interface pour éviter une situation dans laquelle la réponse du commutateur à une requête ARP gratuite apparaît à l’hôte comme une indication d’un conflit IP.
Pour configurer l’ARP du proxy sur une interface IRB (Integrated Routing and Bridging) :
[edit interfaces] user@switch# set irb.logical-unit-number proxy-arp restricted
Configuration du proxy ARP sur les commutateurs
Cette tâche utilise Junos OS pour les commutateurs EX Series qui ne prend pas en charge le style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel prenant en charge ELS, reportez-vous à la section Configuration du proxy ARP sur les périphériques prenant en charge ELS. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Vous pouvez configurer le protocole ARP (Address Resolution Protocol) proxy sur votre commutateur EX Series pour que celui-ci puisse répondre aux requêtes ARP concernant les adresses réseau en proposant sa propre adresse MAC (Media Access Control). Lorsque l’ARP proxy est activé, le commutateur capture et achemine le trafic vers la destination prévue.
Pour configurer l’ARP du proxy sur une interface unique :
[edit interfaces] user@switch# set ge-0/0/3 unit 0 proxy-arp restricted
Nous vous recommandons de configurer l’ARP du proxy en mode restreint. En mode restreint, le commutateur n’est pas un proxy si les adresses IP source et cible se trouvent sur le même sous-réseau. Si vous utilisez le mode sans restriction, désactivez les requêtes ARP gratuites sur l’interface pour éviter que la réponse du commutateur à une requête ARP gratuite n’apparaisse à l’hôte comme une indication d’un conflit IP :
Pour configurer l’ARP du proxy sur une interface VLAN routée (RVI) :
[edit interfaces] user@switch# set vlan unit 100 proxy-arp restricted
Voir également
Configuration du proxy ARP
Vous pouvez configurer le protocole ARP (Address Resolution Protocol) du proxy pour permettre au commutateur de répondre aux requêtes ARP pour les adresses réseau en proposant sa propre adresse MAC (Media Access Control). Lorsque l’ARP proxy est activé, le commutateur capture et achemine le trafic vers la destination prévue.
Pour configurer l’ARP du proxy sur une interface unique :
[edit interfaces] user@switch# set xe-0/0/3 unit 0 proxy-arp restricted
Nous vous recommandons de configurer l’ARP du proxy en mode restreint. En mode restreint, le commutateur n’est pas un proxy si les adresses IP source et cible se trouvent sur le même sous-réseau. Si vous utilisez le mode sans restriction, désactivez les requêtes ARP gratuites sur l’interface pour éviter que la réponse du commutateur à une requête ARP gratuite n’apparaisse à l’hôte comme une indication d’un conflit IP :
Pour configurer l’ARP du proxy sur une interface VLAN routée (RVI) :
[edit interfaces] user@switch# set vlan unit 100 proxy-arp restricted
Voir également
Vérification du bon fonctionnement de l’ARP du proxy
But
Vérifiez que le commutateur envoie des messages ARP proxy.
Action
Répertorier les statistiques du système pour ARP :
user@switch> show system statistics arp
arp:
90060 datagrams received
34 ARP requests received
610 ARP replies received
2 resolution request received
0 unrestricted proxy requests
0 restricted proxy requests
0 received proxy requests
0 unrestricted proxy requests not proxied
0 restricted proxy requests not proxied
0 datagrams with bogus interface
0 datagrams with incorrect length
0 datagrams for non-IP protocol
0 datagrams with unsupported op code
0 datagrams with bad protocol address length
0 datagrams with bad hardware address length
0 datagrams with multicast source address
0 datagrams with multicast target address
0 datagrams with my own hardware address
0 datagrams for an address not on the interface
0 datagrams with a broadcast source address
294 datagrams with source address duplicate to mine
89113 datagrams which were not for me
0 packets discarded waiting for resolution
0 packets sent after waiting for resolution
309 ARP requests sent
35 ARP replies sent
0 requests for memory denied
0 requests dropped on entry
0 requests dropped during retry
0 requests dropped due to interface deletion
0 requests on unnumbered interfaces
0 new requests on unnumbered interfaces
0 replies for from unnumbered interfaces
0 requests on unnumbered interface with non-subnetted donor
0 replies from unnumbered interface with non-subnetted donor
Sens
Les statistiques montrent que deux requêtes ARP proxy ont été reçues. Les unrestricted proxy requests not proxied champs et restricted proxy requests not proxied indiquent que toutes les requêtes ARP sans proxy reçues ont été transmises par proxy par le commutateur.