Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Proxy du NPD et du DAD

RÉSUMÉ Cette rubrique fournit des détails sur les fonctionnalités de proxy NDP (Neighbor Discovery Protocol) et de proxy DAD (Duplicate Address Detection) pour les modes d’interface restreinte et d’interface non restreinte.

Aperçu

La fonctionnalité de proxy NDP permet le transfert de paquets entre les hôtes qui se trouvent dans le même sous-réseau et qui ne peuvent pas communiquer directement entre eux. Le proxy NDP est requis lorsque vous souhaitez permettre à un périphérique hôte sur différents segments physiques avec le même sous-réseau de communiquer sans passerelle ni préfixe supplémentaires. Le proxy NDP est comme un nœud ou un routeur au milieu de plusieurs segments avec le même préfixe.

Lorsque vous configurez l’appareil en tant que proxy NDP pour les adresses, l’interface proxy configurée (routeur ou nœud proxy) envoie les réponses NA (Neighbor Advertisement) à la sollicitation de voisinage (NS) pour le compte des périphériques d’un segment physique différent.

La fonctionnalité de proxy DAD permet à un périphérique de répondre aux requêtes DAD pour un nœud qui ne peut pas communiquer directement avec d’autres nœuds du même sous-réseau.

Note:

La fonctionnalité de proxy NDP ou DAD ne fonctionne pas si le NS correspond à une adresse locale de liaison.

Proxy NDP et DAD (mode restreint d’interface)

La fonctionnalité de proxy NDP (mode restreint d’interface) permet le transfert de paquets entre les hôtes qui se trouvent dans le même sous-réseau et dont la communication est restreinte entre eux. Cette fonctionnalité est principalement utilisée dans les cas où le nœud proxy doit appliquer un contrôle d’accès et intercepter le trafic circulant entre les hôtes. Lorsque vous configurez un proxy NDP sur un périphérique SRX Series, le périphérique envoie un NA et répond aux demandes des périphériques cherchant à obtenir des adresses MAC de préfixes IPv6 attribués aux hôtes à l’intérieur du périphérique SRX Series.

La fonctionnalité DAD détecte l’utilisation d’adresses en double sur une liaison locale à l’aide de messages de sollicitation de voisinage (NS). La fonctionnalité DAD est destinée à l’adresse IPv6 et fonctionne de manière similaire à l’ARP gratuit dans IPv4.

Proxy NDP et DAD (mode sans restriction d’interface)

À partir de Junos OS version 22.1R1, nous prenons en charge les fonctionnalités de proxy NDP et DAD sur plusieurs interfaces configurées par proxy (mode sans restriction d’interface). Le proxy sans restriction de l’interface NDP fonctionne dans le cadre de la fonctionnalité ND IPv6 existante et n’est appelé que s’il est activé. En mode d’interface sans restriction, la fonctionnalité ND fonctionne ensemble sur toutes les interfaces configurées pour les proxys NDP et DAD.

Dans les versions précédentes, les fonctionnalités de proxy NDP et DAD étaient limitées et limitées à l’interface configurée. À l’heure actuelle, la fonctionnalité de proxy NDP et DAD fonctionne sur les multiples interfaces configurées (mode sans restriction d’interface).

Avec la fonctionnalité de proxy NDP et DAD en mode d’interface sans restriction, les interfaces configurées fonctionnent ensemble pour envoyer des réponses NA (Neighbor Advertisement) à la sollicitation de voisinage (NS) au nom des nœuds d’un segment physique différent qui ne sont pas directement accessibles par les nœuds du segment d’origine sans la surcharge de l’attribution de préfixes supplémentaires.

Lorsque vous activez le proxy NDP en mode sans restriction d’interface sur les interfaces à l’aide de la set interfaces interface-name unit number family inet6 ndp-proxy interface-unrestricted commande, les interfaces proxy :

  • Génère un NA pour les requêtes NS. Les requêtes sont ensuite envoyées à partir d’hôtes pour le compte d’autres hôtes qui sont accessibles sur le sous-réseau via les interfaces proxy.

  • Génère NS et l’envoie à toutes les interfaces proxy du sous-réseau, lorsque l’adresse demandée en NS n’est pas disponible dans la table voisine.

    Recherche les routes transférables pour l’adresse ciblée dans la table de routage qui appartient à l’interface d’entrée du paquet NS. La recherche de routes fournit la liste des routes pointant pour résoudre les sauts suivants. Le proxy utilise ces sauts suivants pour envoyer des NS sur différents ports configurés.

    Note:

    Lorsque le proxy effectue la recherche de route et que le tronçon suivant de route qui en résulte pointe vers la même interface que celle où le NS est arrivé, le proxy abandonne ce NS.

  • Permet d’appliquer la détection de l’inaccessible du voisin (NUD) même si l’adresse cible demandée est disponible dans le cache du voisin et qu’elle est accessible. La fonction Force ND est utile lorsque les hôtes passent d’un segment à un autre. Pour activer la fonctionnalité de résolution forcée du proxy NDP, utilisez la set protocols neighbor-discovery ndp-proxy proxy-force-resolve commande.

  • Transfère les paquets entre les hôtes qu’il proxyit, ce qui permet la communication entre les hôtes, une fois les voisins résolus.

La fonctionnalité DAD détecte l’utilisation d’adresses en double sur une liaison locale à l’aide de messages de sollicitation de voisinage (NS).

Lorsque vous activez le proxy DAD sur plusieurs interfaces à l’aide de la set interfaces interface-name unit <number> family inet6 dad-proxy interface-unrestricted commande :

  • Le proxy DAD génère une réponse NA pour les requêtes DAD NS pour le compte d’autres hôtes, si l’adresse provisoire NS est accessible via une autre interface proxy.

  • Lorsqu’une requête DAD NS arrive et que l’adresse provisoire n’est pas disponible ou à l’état obsolète dans le cache voisin, le proxy DAD lance NUD sur toutes les autres interfaces de proxy à l’exception de celle reçue.
  • Si une demande DAD provient d’un hôte pour une adresse provisoire qui se trouve déjà au milieu d’un processus DAD par un autre hôte, le proxy DAD répond avec NA pour les deux hôtes.

Configuration du proxy NDP

Vous pouvez activer le proxy NDP (Neighbor Discovery Protocol) en mode restreint d’interface ou en mode d’interface non restreinte (sur plusieurs interfaces). Vous ne pouvez pas configurer simultanément le mode restreint de l’interface proxy DAD et le mode sans restriction de l’interface sur une interface.
  1. Pour activer le proxy NDP restreint à une interface (mode restreint d’interface) :
  2. Pour activer le proxy NDP sur plusieurs interfaces (mode sans restriction d’interface) :
  3. Pour activer ou désactiver le comportement de proxy NDP de l’envoi de NS pour les entrées déjà apprises qui sont accessibles :
  4. Pour désactiver le proxy NDP pour une adresse qui n’est pas présente dans le cache du voisin :
  5. Pour obtenir les statistiques d’événements tels que les demandes de proxy NDP, les conflits de proxy NDP, les doublons de proxy NDP , les demandes de résolution de proxy NDP et les paquets NDP abandonnés :
    show system statistics icmp6

Configuration du proxy DAD

Vous pouvez activer le proxy DAD (Duplicate Address Detection) sur une interface restreinte (mode restreint d’interface) ou sur plusieurs interfaces (mode sans restriction d’interface). Vous ne pouvez pas configurer simultanément le proxy DAD en mode restreint d’interface et en mode d’interface non restreinte.

Pour configurer le proxy DAD sur une ou plusieurs interfaces :

  1. Pour activer le proxy DAD restreint à une interface (mode restreint d’interface) :
  2. Pour activer le proxy DAD sur plusieurs interfaces (mode sans restriction d’interface) :
  3. Pour désactiver le proxy DAD pour une adresse qui n’est pas présente dans un cache voisin :
  4. Pour obtenir les statistiques d’événements tels que les demandes de proxy DAD, les conflits de proxy DAD, les doublons de proxy DAD, les demandes de résolution de proxy DAD et les paquets DAD abandonnés :
    show system statistics icmp6