プロキシARP
プロキシARPについて
プロキシーのアドレス解決プロトコル(ARP)を設定し、独自のイーサネットメディアアクセス制御(MAC)アドレスを提供することで、スイッチがネットワークアドレスのARPクエリーに応答できるようにすることができます。プロキシARPを有効にすると、スイッチはトラフィックをキャプチャし、目的の宛先にルーティングします。
プロキシARPは、ホストが異なる物理ネットワーク上にあり、サブネットマスキングを使用したくない場合に便利です。ARP ブロードキャストは異なる物理ネットワーク上のホスト間で伝送されないため、宛先が別のサブネット上にある場合、ホストは ARP 要求に対する応答を受信しません。スイッチをARPプロキシとして機能させると、ホストはスイッチを介して相互に透過的に通信できます。プロキシARPは、ルーティングやデフォルトゲートウェイを設定しなくても、サブネット上のホストがリモートサブネットに到達するのに役立ちます。
プロキシARPを使用するメリット
スイッチが独自のイーサネットMAC(メディアアクセス制御)アドレスを提供することで、ネットワークアドレスのARPクエリーに応答できるようにします。
スイッチが ARP プロキシとして機能できるようにすることで、ホストはスイッチを介して相互に透過的に通信できます。
ルーティングやデフォルトゲートウェイを設定しなくても、サブネット上のホストがリモートサブネットに到達できるようにします。
ARPとは?
イーサネットLANは、ARPを使用してイーサネットMACアドレスをIPアドレスにマッピングします。各デバイスは、MAC アドレスと IP アドレスのマッピングを含むキャッシュを維持します。スイッチは、ネットワーク デバイスにパケットを転送するときに参照するキャッシュにこのマッピングを維持します。ARP キャッシュに宛先デバイスのエントリーが含まれていない場合、ホスト(DHCP クライアント)はそのデバイスのアドレスに対する ARP リクエストをブロードキャストし、その応答をキャッシュに保存します。
プロキシARPの概要
プロキシARPが有効な場合、スイッチがターゲット(宛先)IPアドレスへのルートを持つARPリクエストを受信すると、スイッチは独自のMACアドレスを含むプロキシARP応答パケットを送信して応答します。次に、ARP 要求を送信したホストがそのパケットをスイッチに送信し、スイッチはそれを目的のホストに転送します。
セキュリティ上の理由から、ARP 要求の送信元アドレスは、ARP 要求を受信したインターフェイスと同じサブネット上にある必要があります。
各インターフェイスにプロキシARPを設定できます。また、irbという名前のIRB(統合型ルーティングおよびブリッジング)インターフェイスまたはvlanという名前の RVI(ルーテッドVLANインターフェイス )に対してプロキシARPを設定することもできます。(ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートするジュニパーネットワークス Junosオペレーティングシステム(Junos OS)を使用する EXシリーズ スイッチでは、この機能はIRBインターフェイスと呼ばれます。ELSをサポートしていないJunos OSを使用するEXシリーズスイッチでは、この機能はRVIと呼ばれます。)
プロキシARPには、制限付きと無制限の2つのモードがあります。どちらのモードでも、スイッチがARPリクエストの宛先アドレスへのアクティブなルートを持っている必要があります。
制限—スイッチは、送信元とターゲットの物理ネットワークが異なるARP要求に応答し、送信元とターゲットのIPアドレスが同じサブネット上にある場合は応答しません。このモードでは、同じサブネット上のホストはプロキシARPなしで通信します。スイッチでこのモードを使用することを推奨します。
無制限—スイッチは、宛先へのルートがあるすべてのARP要求に応答します。これはデフォルトモードです(スイッチ上以外のジュニパーネットワークス Junosオペレーティングシステム(Junos OS)設定ではデフォルトモードであるため)。スイッチでは、制限モードの使用を推奨します。
プロキシARPのベストプラクティス
スイッチでプロキシARPを設定する場合、以下のベストプラクティスをお勧めします。
プロキシARPを制限モードに設定します。
RVI または IRB インターフェイスでプロキシ ARP を設定する場合は、制限モードを使用します。
プロキシARPを無制限に設定した場合、プロキシARPが有効になっている各インターフェイスで、gratuitous ARP要求を無効にします。
ELSをサポートするデバイスでのプロキシARPの設定
このタスクでは、拡張レイヤー 2 ソフトウェア(ELS)設定スタイルをサポートする EXシリーズ スイッチと QFX3500 および QFX3600 スイッチで Junos OS を使用します。スイッチがELSをサポートしていないソフトウェアを実行している場合は、 スイッチでのプロキシARPの設定 または プロキシARPの設定を参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
スイッチにプロキシー ARP(Address Resolution Protocol)を設定し、スイッチが独自の MAC(メディア アクセス制御)アドレスを提供することで、ネットワーク アドレスに対する ARP クエリーに応答できるようにすることができます。プロキシARPを有効にすると、スイッチはトラフィックをキャプチャし、目的の宛先にルーティングします。
単一のインターフェイスでプロキシARPを設定するには:
[edit interfaces] user@switch# set interface-name unit logical-unit-number proxy-arp (restricted | unrestricted)
プロキシARPを制限モードで設定することをお勧めします。制限モードでは、送信元とターゲットのIPアドレスが同じサブネット上にある場合、スイッチはプロキシとして機能しません。無制限モードを使用する場合は、インターフェイス上のGratuitous ARP要求を無効にして、Gratuitous ARP要求に対するスイッチの応答がホストからIP競合を示しているように見える状況を回避します。
IRB(統合型ルーティングおよびブリッジング)インターフェイスでプロキシARPを設定するには:
[edit interfaces] user@switch# set irb.logical-unit-number proxy-arp restricted
スイッチでのプロキシARPの設定
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートしない EXシリーズ スイッチで Junos OS を使用します。ご使用のスイッチが ELS をサポートするソフトウェアを実行している場合は、 ELS をサポートするデバイスでのプロキシ ARP の設定を参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
EXシリーズスイッチにプロキシーアドレス解決プロトコル(ARP)を設定し、スイッチが独自のMAC(メディアアクセス制御)アドレスを提供することで、ネットワークアドレスに対するARPクエリーに応答できるようにすることができます。プロキシARPを有効にすると、スイッチはトラフィックをキャプチャし、目的の宛先にルーティングします。
単一のインターフェイスでプロキシARPを設定するには:
[edit interfaces] user@switch# set ge-0/0/3 unit 0 proxy-arp restricted
プロキシARPを制限モードで設定することをお勧めします。制限モードでは、送信元とターゲットのIPアドレスが同じサブネット上にある場合、スイッチはプロキシではありません。無制限モードを使用する場合は、インターフェイス上の Gratuitous ARP 要求を無効にして、Gratuitous ARP 要求に対するスイッチの応答がホストに IP 競合の兆候として見える状況を回避します。
ルーテッドVLANインターフェイス(RVI)でプロキシARPを設定するには:
[edit interfaces] user@switch# set vlan unit 100 proxy-arp restricted
関連項目
プロキシARPの設定
プロキシーのアドレス解決プロトコル(ARP)を設定し、スイッチが独自のMAC(メディアアクセス制御)アドレスを提供することで、ネットワークアドレスに対するARPクエリーに応答できるようにすることができます。プロキシARPを有効にすると、スイッチはトラフィックをキャプチャし、目的の宛先にルーティングします。
単一のインターフェイスでプロキシARPを設定するには:
[edit interfaces] user@switch# set xe-0/0/3 unit 0 proxy-arp restricted
プロキシARPを制限モードで設定することをお勧めします。制限モードでは、送信元とターゲットのIPアドレスが同じサブネット上にある場合、スイッチはプロキシではありません。無制限モードを使用する場合は、インターフェイス上の Gratuitous ARP 要求を無効にして、Gratuitous ARP 要求に対するスイッチの応答がホストに IP 競合の兆候として見える状況を回避します。
ルーテッドVLANインターフェイス(RVI)でプロキシARPを設定するには:
[edit interfaces] user@switch# set vlan unit 100 proxy-arp restricted
関連項目
プロキシARPが正しく動作していることを確認する
目的
スイッチがプロキシARPメッセージを送信していることを確認します。
アクション
ARPのシステム統計を一覧表示します。
user@switch> show system statistics arp
arp:
90060 datagrams received
34 ARP requests received
610 ARP replies received
2 resolution request received
0 unrestricted proxy requests
0 restricted proxy requests
0 received proxy requests
0 unrestricted proxy requests not proxied
0 restricted proxy requests not proxied
0 datagrams with bogus interface
0 datagrams with incorrect length
0 datagrams for non-IP protocol
0 datagrams with unsupported op code
0 datagrams with bad protocol address length
0 datagrams with bad hardware address length
0 datagrams with multicast source address
0 datagrams with multicast target address
0 datagrams with my own hardware address
0 datagrams for an address not on the interface
0 datagrams with a broadcast source address
294 datagrams with source address duplicate to mine
89113 datagrams which were not for me
0 packets discarded waiting for resolution
0 packets sent after waiting for resolution
309 ARP requests sent
35 ARP replies sent
0 requests for memory denied
0 requests dropped on entry
0 requests dropped during retry
0 requests dropped due to interface deletion
0 requests on unnumbered interfaces
0 new requests on unnumbered interfaces
0 replies for from unnumbered interfaces
0 requests on unnumbered interface with non-subnetted donor
0 replies from unnumbered interface with non-subnetted donor
意味
統計によると、2 件のプロキシ ARP 要求が受信されました。 unrestricted proxy requests not proxied と restricted proxy requests not proxied フィールドは、受信したすべてのプロキシ化されていないARP要求がスイッチによってプロキシされたことを示します。