Descripción general del ARP de proxy restringido y sin restricciones
De forma predeterminada, Junos OS responde a una solicitud de Protocolo de resolución de direcciones (ARP) solo si la dirección de destino de la solicitud ARP es local en la interfaz de entrada.
Para interfaces Ethernet, puede configurar el enrutador o los conmutadores para que el proxy responda a las solicitudes ARP mediante la configuración de ARP de proxy restringido o no.
Es posible que desee configurar un ARP de proxy restringido o no para enrutadores que actúan como dispositivos de borde de proveedor (PE) en dominios de conmutación LAN de Ethernet de capa 2.
Desde la versión 10.0 de Junos OS en adelante, Junos OS no responde a las solicitudes de ARP de proxy con la ruta predeterminada 0.0.0.0. Este comportamiento cumple con la RFC 1027.
ARP de proxy restringido
El ARP de proxy restringido permite que el enrutador o conmutador responda a las solicitudes ARP en las que las redes físicas del origen y el destino no son las mismas y el enrutador o conmutador tiene una ruta activa a la dirección de destino en la solicitud ARP. El enrutador no responde si la dirección de destino está en la misma subred y en la misma interfaz que el solicitante ARP.
ARP de proxy sin restricciones
El ARP de proxy sin restricciones permite que el enrutador o conmutador responda a cualquier solicitud de ARP, a condición de que el enrutador tenga una ruta activa a la dirección de destino de la solicitud ARP. La ruta no se limita a la interfaz de entrada de la solicitud, ni es necesaria que sea una ruta directa.
Si configura ARP de proxy sin restricciones, el enrutador de proxy responde a las solicitudes de ARP para la dirección IP de destino en la misma interfaz que la solicitud ARP entrante. Este comportamiento es adecuado para entornos del sistema de terminación de módem por cable (CMTS), pero puede causar problemas de accesibilidad de capa 2 si habilita el ARP de proxy sin restricciones en otros entornos.
Cuando un cliente IP transmite la solicitud ARP a través del cable Ethernet, el nodo final con la dirección IP correcta responde a la solicitud ARP y proporciona la dirección MAC correcta. Si la función ARP de proxy sin restricciones está habilitada, la respuesta del enrutador es redundante y podría engañar al cliente IP para que determine que la dirección MAC de destino dentro de su propia subred sea la misma que la dirección del enrutador.
Aunque la dirección de destino puede ser remota, la dirección de origen de la solicitud ARP debe estar en la misma subred que la interfaz en la que se recibe la solicitud ARP. Por motivos de seguridad, esta regla se aplica tanto al ARP de proxy sin restricciones como al ARP restringido.
Consideraciones de topología para ARP de proxy sin restricciones
En la mayoría de las situaciones, no debe configurar el enrutador o conmutador para que realice un ARP de proxy sin restricciones. Házlo solo para situaciones especiales, como cuando se utilizan módems de cable. Figura 1 y Figura 2 muestra ejemplos de situaciones en las que es posible que desee configurar ARP de proxy sin restricciones.
En Figura 1, el dispositivo de borde no ejecuta ningún protocolo IP. En este caso, configure el enrutador de núcleo para que realice un ARP de proxy sin restricciones. El dispositivo de borde es el cliente del proxy.
En Figura 2, los enrutadores del servidor de acceso remoto de banda ancha (B-RAS) no ejecutan ningún protocolo IP. En este caso, configure el ARP de proxy sin restricciones en las interfaces del B-RAS. Esto permite que el dispositivo central se comporte como si estuviera directamente conectado a los usuarios finales.
