Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

NDP プロキシと DAD プロキシ

このトピックでは、インターフェイス制限モードとインターフェイス非制限モードでの近隣検索プロトコル(NDP)プロキシと重複アドレス検出(DAD)プロキシ機能について詳しく説明します。

概要

NDP プロキシ機能は、同じサブネット内にあり、相互に直接通信できないように制限されたホスト間でのパケット転送を可能にします。NDP プロキシは、同じサブネットを持つ異なる物理セグメント上のホスト デバイスが、追加のゲートウェイとプレフィックスなしで通信できるようにする場合に必要です。NDPプロキシは、同じプレフィックスを持つ複数のセグメントの中間にあるノードまたはルーターのようなものです。

デバイスをアドレスの NDP プロキシとして設定すると、設定されたプロキシ インターフェイス(プロキシ ルーターまたはノード)は、異なる物理セグメント内のデバイスに代わって、ネイバー アドバタイズ(NA)の返信をネイバー送信請求(NS)に送信します。

DAD プロキシ機能を使用すると、デバイスは、同じサブネット内の他のノードと直接通信できないノードの DAD クエリに応答できます。

手記:

NDP または DAD プロキシ機能は、NS がリンク ローカル アドレス用の場合は機能しません。

NDP および DAD プロキシ(インターフェイス制限モード)

NDP プロキシ機能(インターフェイス制限モード)により、同じサブネット内にあり、相互に直接通信するように制限されているホスト間でのパケット転送が可能になります。この機能は主に、プロキシノードがアクセス制御を適用し、ホスト間を流れるトラフィックを傍受する必要があるシナリオで使用されます。SRXシリーズファイアウォールでNDPプロキシを設定すると、デバイスはNAを送信し、SRXシリーズファイアウォール内のホストに割り当てられたIPv6プレフィックスのMACアドレスを求めるデバイスからの要求に応答します。

DAD 機能は、ネイバー送信要求(NS)メッセージを使用して、ローカル リンク上の重複アドレスの使用を検出します。DAD 機能は IPv6 アドレス用で、IPv4 の Gratuitous ARP と同様の機能を備えています。

NDP および DAD プロキシ(インターフェイス制限モード)

Junos OS リリース 22.1R1 以降では、複数のプロキシ構成インターフェイス(インターフェイス無制限モード)で NDP および DAD プロキシ機能をサポートしています。NDP インターフェイス制限なしプロキシは、既存の IPv6 ND 機能内で動作し、有効になっている場合にのみ呼び出されます。インターフェイス無制限モード:ND機能は、NDPおよびDADプロキシ用に設定されたすべてのインターフェイスで連携して動作します。

以前のリリースでは、NDP と DAD のプロキシ機能は制限されており、設定されたインターフェイスのみに制限されていました。現在、NDP と DAD プロキシ機能は、複数の設定されたインターフェイスで動作します(インターフェイス制限なしモード)。

インターフェイス無制限モードでのNDPおよびDADプロキシ機能では、設定されたインターフェイスが連携して機能し、追加のプレフィックス割り当てのオーバーヘッドなしには送信元セグメントのノードが直接到達できない別の物理セグメント内のノードに代わって、ネイバーアドバタイズメント(NA)応答をネイバー送信請求(NS)に送信します。

set interfaces interface-name unit number family inet6 ndp-proxy interface-unrestrictedコマンドを使用して、インターフェイス上のインターフェイス無制限モードでNDPプロキシを有効にすると、プロキシインターフェイスは次のようになります。

  • NS 要求に対して NA を生成します。要求は、プロキシ インターフェイスを介してサブネット上で到達可能な他のホストに代わってホストから送信されます。

  • NS で要求されたアドレスがネイバー テーブルで利用できない場合、NS を生成し、サブネットのすべてのプロキシ インターフェイスに送信します。

    NS パケットのイングレス インターフェイスに属するルート テーブルで、ターゲット アドレスの転送可能ルートを探します。ルートルックアップは、ネクストホップを解決するためのルートのリストを提供します。プロキシは、これらのネクスト ホップを使用して、設定された異なるポートで NS を送信します。

    手記:

    プロキシがルート ルックアップを行い、結果のルート ネクスト ホップが NS が到着した同じインターフェイスを指す場合、プロキシはその NS をドロップします。

  • 要求されたターゲット アドレスがネイバー キャッシュで使用可能であり、到達可能な場合でも、ネイバー到達不能検出(NUD)を実施できます。強制 ND 機能は、ホストが 1 つのセグメントから別のセグメントに移動するときに便利です。NDP プロキシの強制解決機能を有効にするには、 set protocols neighbor-discovery ndp-proxy proxy-force-resolve コマンドを使用します。

  • プロキシするホスト間でパケットを転送し、ネイバーが解決されると、ホスト間の通信を可能にします。

DAD 機能は、ネイバー送信要求(NS)メッセージを使用して、ローカル リンク上の重複アドレスの使用を検出します。

set interfaces interface-name unit <number> family inet6 dad-proxy interface-unrestrictedコマンドを使用して複数のインターフェイスでDADプロキシを有効にする場合:

  • DADプロキシは、NS仮アドレスが他のプロキシインターフェイスを介して到達可能な場合、他のホストに代わってDAD NS要求に対するNA応答を生成します。

  • DAD NS 要求が到着し、一時アドレスが使用できない場合、またはネイバー キャッシュで古い状態の場合、DAD プロキシは、受信したプロキシ インターフェイスを除く他のすべてのプロキシ インターフェイスで NUD を開始します。

  • 別のホストによる DAD プロセスの途中にある仮アドレスに対するホストからの DAD 要求の場合、DAD プロキシは両方のホストに対して NA で応答します。

NDP プロキシーの構成

近隣検索プロトコル(NDP)プロキシは、インターフェイス制限モードまたはインターフェイス非制限モード(複数のインターフェイス間)で有効にできます。インターフェイス上で、DAD プロキシ インターフェイス制限モードとインターフェイス非制限モードの両方を同時に設定することはできません。
  1. インターフェイスに制限された NDP プロキシを有効にするには(インターフェイス制限モード):
  2. 複数のインターフェイスで NDP プロキシを有効にするには(インターフェイス制限モード):
  3. 到達可能な学習済みのエントリに対して NS を送信する NDP プロキシの動作を有効または無効にするには、次の手順に従います。
  4. ネイバーキャッシュに存在しないアドレスのNDPプロキシを無効にするには、次のようにします。
  5. NDP プロキシ リクエスト、NDP プロキシの競合、NDP プロキシの重複、NDP プロキシ解決リクエスト、ドロップされた NDP パケットなどのイベントの統計を取得するには、以下を行います。
    show system statistics icmp6

DADプロキシの構成

重複アドレス検出(DAD)プロキシは、制限されたインターフェイス上(インターフェイス制限モード)または複数のインターフェイス間(インターフェイス制限モード)で有効にできます。DAD プロキシーをインターフェース制限モードとインターフェース非制限モードで同時に設定することはできません。

1 つのインターフェイスまたは複数のインターフェイスで DAD プロキシを設定するには、次の手順を実行します。

  1. インターフェイスに制限された DAD プロキシを有効にするには(インターフェイス制限モード):
  2. 複数のインターフェイスで DAD プロキシを有効にするには(インターフェイス無制限モード):
  3. ネイバーキャッシュに存在しないアドレスのDADプロキシを無効にするには:
  4. DAD プロキシ要求、DAD プロキシの競合、DAD プロキシの重複、DAD プロキシ解決要求、ドロップされた DAD パケットなどのイベントの統計を取得するには:
    show system statistics icmp6

ユーザ ルートに対する NDP プロキシ サポート

このトピックでは、近隣検索プロトコル (NDP) プロキシのサポートについて説明します。インターフェイスに対してこの機能を有効にすると、アドレス解決プロトコル(ARP)および近隣探索プロトコル(NDP)テーブルに存在する各IPv4またはIPv6ホストアドレスのルーティング情報ベース(RIB)でホストルートが維持されます。

たとえば、同じネットワーク セグメントに属しているが、物理ネットワーク上にある 2 つのホストが、それぞれ独自のゲートウェイに接続されているとします。両方のホストが同じIPアドレスで構成されています。

サーバーとゲートウェイをまたいで柔軟な導入や移行をサポートするためにサーバーを複数のホストに分割する場合、複数のゲートウェイ間でレイヤー2接続を構成するのが一般的です。しかし、これにより、より大規模なレイヤー2ドメインやブロードキャストストームなどのネットワーク問題が発生する可能性があります。これを解決するには、ホスト ゲートウェイでルートベースのプロキシ近隣探索を使用します。ゲートウェイは、独自のMACアドレスを送信元ホストに送信し、送信元ホストから他のホストに送信されるトラフィックは、レイヤー2スイッチングではなく、ルートを介して行われます。

図1:プロキシNDトポロジー Proxy ND topology

IPV6アドレス2001:db8:a20::1/64および2001:db8:20::2/64を持つホストAとホストBが同じネットワークセグメント上にあるとします。ルーターAとルーターBは、レイヤー3ネットワークを使用して接続されています。両方のルーター上のホストへのインターフェイスは、同じMACアドレスとIPv6アドレスを持っています。宛先 IPv6 アドレスとローカル IPv6 アドレスは同じネットワーク セグメント上にあるため、ホスト A がホスト B と通信する場合、ホスト B の MAC アドレスを要求するために近隣要請(NS)パケットを送信します。ただし、ホストAとホストBは異なる物理ネットワーク上にあるため、ホストBはNSを受信せず、応答できません。

この問題を解決するために、ユーザー ルートに基づく新しいプロキシ近隣探索(ND)オプションが導入されました。このモードは、プロキシの無制限モードでのみサポートされます。

新しいプロキシ モードは、ホスト ルート生成機能に依存して到達可能性をチェックします。インターフェイスに対してこの機能を有効にすると、アドレス解決プロトコル(ARP)および近隣探索プロトコル(NDP)テーブルに存在する各IPv4またはIPv6ホストアドレスのルーティング情報ベース(RIB)でホストルートが維持されます。RIB でアクティブなこれらのホスト ルートは、ルーティング プロトコルのエクスポート ポリシーに従って、BGP または IGP に再配布できます。ユーザー・ルート・プロキシNDは、ホストの到達性をチェックするために、これらの再配布されたユーザー・ルートに依存する。

手記:

プロアクティブなARP検出は、到達可能なVMを迅速に学習するのに役立ちますが、プロアクティブなIPV6ネイバー学習はサポートされていません。

手記:

デフォルト以外のルーティングテーブルのホストルートはサポートされていないため、新しいユーザールートベースのプロキシもサポートされていません。

参照